Todos los avisos / BE-2023-0001

BE-2023-0001

BE-2023-0001: Vulnerabilidad de desbordamiento de búfer basada en la pila en archivos WebP de Leapfrog de Seequent

ID de Bentley: BE-2023-0001
ID de CVE: CVE-2023-4863
Gravedad: 8
CVSS v3.1: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 2023-10-27
Fecha de revisión: 2023-10-27

Resumen
Las aplicaciones LeapFrog pueden verse afectadas por una vulnerabilidad de desbordamiento de búfer basada en la pila al abrir archivos WebP creados con malicia. Explotar estas vulnerabilidades podría dar lugar a la divulgación de información o a la ejecución de códigos arbitrarios.

Detalles
El uso de una versión afectada de la aplicación LeapFrog para abrir un archivo WebP que contenga datos creados con malicia puede forzar un desbordamiento del búfer basado en la pila en la biblioteca libwebp. La explotación de esta vulnerabilidad dentro del análisis de archivos WebP podría permitir que un atacante realice una escritura de memoria fuera de límites y podría conducir a la ejecución de código en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
Leapfrog de Seequent 2023.1.* y versiones anteriores 2023.2 y superior

 

Mitigaciones recomendadas
Seequent, la empresa de Bentley para subsuelo, recomienda actualizar a las últimas versiones de las aplicaciones LeapFrog. Como mejor práctica general, también se recomienda abrir solo los archivos WebP que provengan de fuentes de confianza.

Agradecimientos

Historial de revisiones

Fecha Descripción
10-27-2023 Primera versión de este aviso