Todos los avisos / BE-2022-0020

BE-2022-0020

BE-2022-0020: Vulnerabilidades de lectura fuera de los límites permitidos y de desbordamiento de pila de memoria al realizar el análisis de archivos DGN en MicroStation y aplicaciones basadas en MicroStation

ID de Bentley: BE-2022-0020
ID de CVE: CVE-2022-40201, CVE-2022-41613
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 20-10-2022
Fecha de revisión: 20-10-2022

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por vulnerabilidades de desbordamiento de pila y de lectura fuera de los límites permitidos cuando se abren archivos DGN malintencionados. Explotar estas vulnerabilidades podría dar lugar a la divulgación de información y a la ejecución de códigos arbitrarios.

Detalles
El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DGN que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos o forzar la ejecución de códigos arbitrarios. Explotar estas vulnerabilidades en el análisis de archivos DGN podría permitir a un atacante leer información en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation 10.17.0.209 y versiones anteriores 10.17.1.* y más recientes
Bentley View 10.17.0.209 y versiones anteriores 10.17.1.* y más recientes

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos DGN que provengan de fuentes de confianza.

Reconocimiento Gracias a Michael Heinzl y a Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC) de Cybersecurity and Infrastructure Security Agency (CISA) del Departamento de Seguridad del Territorio Nacional (DHS) de los Estados Unidos, por descubrir estas vulnerabilidades.

Historial de revisiones

Fecha Descripción
10-20-2022 Primera versión de este aviso
10-28-2022 Añadiendo reconocimiento

Guiémosle hacia la respuesta correcta o contacte a un agente.

Logo negro de Bentley Systems
Explorar
Software
Licencias y suscripciones
Mi cuenta/Crear perfil
Tienda de software
Construya con nosotros
Profesores y estudiantes
Desarrolladores
Investigación de productos
Legal

Información legal
Centro de confianza

Empresa
Acerca de Bentley Systems
Carreras
Contáctenos
Inversionistas
Noticias
Eventos
Blog
Year in Infrastructure
Factores ASG
Infrastructure Yearbook
Boletín informativo sobre moneda digital
COP
Soporte
Centro de apoyo
Capacitación
Servicios
Bentley Communities
Inversiones
Fondo iTwin Ventures de Bentley
Empresas y socios

Socios de ventas y de capacitación
Seequent, la empresa de Bentley para subsuelo
Cohesive

Política de privacidad | Condiciones de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.

Nomine un proyecto