Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Open Design Alliance (ODA) ODAViewer

Fecha de publicación 16/11/2021
Importancia
4 - Alta
Recursos Afectados

Open Design Alliance (ODA) ODAViewer, versiones anteriores a 2022.11.

Descripción

Mat Powell, de ZDI Trend Micro, ha descubierto 3 vulnerabilidades, 1 de severidad alta y 2 bajas, que podrían permitir a un atacante remoto divulgar información sensible y ejecutar código arbitrario.

Solución

Actualizar ODA ODAViewer a la versión 2022.11.

Detalle
  • La vulnerabilidad se sitúa en el parseo de los archivos DWG, debido a la falta de validación de la existencia de un objeto antes de realizar operaciones sobre el mismo. Se ha asignado el identificador CVE-2021-43582 para esta vulnerabilidad alta.

Para el resto de vulnerabilidades se ha asignado el identificador CVE-2021-43581.

Encuesta valoración

Listado de referencias
ODA Security Advisories
ZDI-21-1310: Open Design Alliance (ODA) ODAViewer U3D File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
ZDI-21-1311: Open Design Alliance (ODA) ODAViewer U3D File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
ZDI-21-1312: Open Design Alliance (ODA) ODAViewer DWG File Parsing Use-After-Free Remote Code Execution Vulnerability
Etiquetas