BE-2022-0005: vulnerabilidades de lectura fuera de los límites permitidos al realizar el análisis sintáctico de archivos DXF en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2022-0005
ID de CVE: CVE-2022-28307, CVE-2022-28311
Gravedad: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Fecha de publicación: 2022-04-05
Fecha de revisión: 2022-04-05
Resumen
MicroStation y las aplicaciones basadas en MicroStation podrían verse afectados por vulnerabilidades de lectura fuera de los límites cuando se abren archivos DXF malintencionados. Explotar estas vulnerabilidades podría conducir a la divulgación de información.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-16306 y ZDI-CAN-16341. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DXF que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos (out-of-bounds). Explotar estas vulnerabilidades en el análisis de archivos DXF podría permitir a un atacante leer información en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
| Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir sólo los archivos DXF que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
| Fecha | Descripción |
| 04-05-2022 | Primera versión de este aviso |
