BE-2022-0007: vulnerabilidades de escritura fuera de los límites permitidos al realizar el análisis sintáctico de archivos JP2 en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2022-0007
ID de CVE: CVE-2022-28300
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N Fecha de publicación:
05-04-2022 Fecha de revisión: 05-04-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por vulnerabilidades de lectura fuera de los límites cuando se abren archivos JP2 malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-16202. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo JP2 que contenga datos malintencionados puede forzar una escritura fuera de los límites. La explotación de estas vulnerabilidades en el análisis de archivos JP2 podría permitir a un atacante ejecutar un código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
| Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como práctica recomendada general, también se recomienda abrir solo los archivos JP2 que provengan de fuentes de confianza.
Reconocimiento
Gracias a Anonymous que trabaja con Trend Micro Zero Day Initiative por encontrar esta vulnerabilidad.
Historial de revisiones
| Fecha | Descripción |
| 04-05-2022 | Primera versión de este aviso |
