Múltiples vulnerabilidades en productos de Autodesk

Fecha de publicación 03/04/2023
Importancia
4 - Alta
Recursos Afectados
  • Autodesk Maya USD Plugin, versión 0.22.0 y anteriores.
  • Autodesk® FBX® SDK, versión 2020.
Descripción

Mat Powell de Trend Micro Zero Day Initiative, y cbgabriel junto al MSRC team, han informado de 6 vulnerabilidades de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante realizar una ejecución de código, una denegación de servicio o una divulgación de información.

Solución
  • Autodesk Maya USD Plugin: actualizar a la versión 0.23.0.
  • Autodesk® FBX® SDK: actualizar a la versión 2020.3.4.
Detalle
  • Un actor malicioso puede engañar a una víctima objetivo, para que abra un archivo USD malicioso permitiendo:
    • Activar una variable no inicializada que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-25010 para esta vulnerabilidad.
    • Desencadenar una lectura fuera de los límites establecidos, lo que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-27906 para esta vulnerabilidad.
    • Desencadenar una escritura fuera de los límites establecidos, lo que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-27907 para esta vulnerabilidad.
  • Una vulnerabilidad de escritura fuera de los límites que podría conducir a la ejecución de código a través de archivos FBX maliciosamente diseñados o a la divulgación de información. Se ha asignado el identificador CVE-2023-27909 para esta vulnerabilidad.
  • Un usuario puede ser engañado para abrir un archivo FBX malicioso, que puede explotar una vulnerabilidad de desbordamiento de búfer de pila, lo que podría conducir a la ejecución de código. Se ha asignado el identificador CVE-2023-27910 para esta vulnerabilidad.
  • Un usuario puede ser engañado para abrir un archivo FBX malicioso, que puede explotar una vulnerabilidad de desbordamiento de búfer en el montículo (heap), lo que podría conducir a la ejecución de código. Se ha asignado el identificador CVE-2023-27911 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Vulnerabilities for Autodesk® Maya® USD plugin
Multiple Vulnerabilities in the Autodesk® FBX® SDK software
Etiquetas