BE-2022-0019: Vulnerabilidades de lectura fuera de los límites permitidos al realizar el análisis sintáctico de archivos FBX en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2022-0019
ID de CVE: CVE-2022-42900
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N Fecha de publicación:
12-10-2022 Fecha de revisión: 12-10-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation podrían verse afectados por vulnerabilidades de lectura fuera de los límites permitidos cuando se abren archivos FBX malintencionados. Explotar estas vulnerabilidades podría dar lugar a la divulgación de información y a la ejecución de códigos.
Detalles
El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo FBX que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos o forzar la ejecución de un código arbitrario. Explotar estas vulnerabilidades en el análisis de archivos FBX podría permitir a un atacante leer información o ejecutar código en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.17.0.* y versiones anteriores | 10.17.01.58* y más recientes |
| Bentley View | 10.17.0.* y versiones anteriores | 10.17.01.19 y más recientes |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos FBX que provengan de fuentes de confianza.
Agradecimiento
Gracias a Michael DePlante (@izobashi) de la Iniciativa Zero Day de Trend Micro
Historial de revisiones
| Fecha | Descripción |
| 10-12-2022 | Primera versión de este aviso |
| 10-13-2022 | Adición de número de Exposición a Vulnerabilidades Comunes (número CVE) |
