Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Múltiples vulnerabilidades detectadas en Autodesk Revit

Fecha de publicación 11/07/2025
Importancia
4 - Alta
Recursos Afectados

Autodesk Revit versiones:

  • 2024.3.2;
  • 2025.4.1;
  • v2026.1.
Descripción

Mat Powell de Trend Zero Day Initiative (ZDI) ha informado de 2 vulnerabilidades que afectan a Autodesk Revit cuya explotación podría provocar la ejecución de código malicioso.

Solución

Para mitigar las vulnerabilidades, Autodesk recomienda actualizar a la siguiente versión:

  • Autodesk Revit:
    • 2024.3.3;
    • 2025.4.2;
    • 2026.2.

Autodesk recomienda encarecidamente a los usuarios de los productos afectados que instalen las últimas versiones, encargadas de mitigar el impacto de la explotación de las vulnerabilidades detectadas. Dichas actualizaciones están disponibles en Autodesk Access o el portal de cuentas.

Al mismo tiempo, también recomienda como práctica habitual que los usuarios solamente abran archivos de fuentes confiables.

Disponer de los sistemas actualizados ayuda a prevenir brechas de seguridad y a evitar la explotación de vulnerabilidades conocidas. Se recomienda disponer de un plan de respuesta ante incidentes que ayuda a mitigar el impacto de las amenazas.

Detalle

Autodesk informa de la detección de múltiples vulnerabilidades de severidad alta que afectan a Autodesk Revit, su explotación puede provocar la ejecución de código malicioso. Para explotar las vulnerabilidades es precisa la interacción del usuario, ya que debe abrir un archivo malicioso.

Una de las vulnerabilidades puede provocar un fallo en la memoria cuando el programa analiza un archivo RFA (familias) creado con fines maliciosos; esto haría que un atacante pueda ejecutar código arbitrario en el contexto del proceso actual.

La otra vulnerabilidad puede provocar un desbordamiento de la pila cuando Autodesk Revit analiza un archivo RTE (plantilla) creado con fines maliciosos; esto haría que un atacante pueda provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).