BE-2023-0001: Vulnerabilidad de desbordamiento de búfer basada en la pila en archivos WebP de Leapfrog de Seequent
ID de Bentley: BE-2023-0001
ID de CVE: CVE-2023-4863
Gravedad: 8
CVSS v3.1: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 2023-10-27
Fecha de revisión: 2023-10-27
Resumen
Las aplicaciones LeapFrog pueden verse afectadas por una vulnerabilidad de desbordamiento de búfer basada en la pila al abrir archivos WebP creados con malicia. Explotar estas vulnerabilidades podría dar lugar a la divulgación de información o a la ejecución de códigos arbitrarios.
Detalles
El uso de una versión afectada de la aplicación LeapFrog para abrir un archivo WebP que contenga datos creados con malicia puede forzar un desbordamiento del búfer basado en la pila en la biblioteca libwebp. La explotación de esta vulnerabilidad dentro del análisis de archivos WebP podría permitir que un atacante realice una escritura de memoria fuera de límites y podría conducir a la ejecución de código en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| Leapfrog de Seequent | 2023.1.* y versiones anteriores | 2023.2 y superior |
Mitigaciones recomendadas
Seequent, The Bentley Subsurface Company, recomienda actualizar a las últimas versiones de las aplicaciones LeapFrog. Como mejor práctica general, también se recomienda abrir solo los archivos WebP que provengan de fuentes de confianza.
Agradecimientos
Historial de revisiones
| Fecha | Descripción |
| 10-27-2023 | Primera versión de este aviso |
