Todos los avisos / BE-2022-0020

BE-2022-0020

BE-2022-0020: Vulnerabilidades de lectura fuera de los límites permitidos y de desbordamiento de pila de memoria al realizar el análisis de archivos DGN en MicroStation y aplicaciones basadas en MicroStation

ID de Bentley: BE-2022-0020
ID de CVE: CVE-2022-40201, CVE-2022-41613
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 20-10-2022
Fecha de revisión: 20-10-2022

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por vulnerabilidades de desbordamiento de pila y de lectura fuera de los límites permitidos cuando se abren archivos DGN malintencionados. Explotar estas vulnerabilidades podría dar lugar a la divulgación de información y a la ejecución de códigos arbitrarios.

Detalles
El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DGN que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos o forzar la ejecución de códigos arbitrarios. Explotar estas vulnerabilidades en el análisis de archivos DGN podría permitir a un atacante leer información en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation 10.17.0.209 y versiones anteriores 10.17.1.* y más recientes
Bentley View 10.17.0.209 y versiones anteriores 10.17.1.* y más recientes

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos DGN que provengan de fuentes de confianza.

Reconocimiento Gracias a Michael Heinzl y a Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC) de Cybersecurity and Infrastructure Security Agency (CISA) del Departamento de Seguridad del Territorio Nacional (DHS) de los Estados Unidos, por descubrir estas vulnerabilidades.

Historial de revisiones

Fecha Descripción
10-20-2022 Primera versión de este aviso
10-28-2022 Añadiendo reconocimiento