Vulnerabilidad en la operación de recuperación con archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25178)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
18/01/2021
Última modificación:
08/04/2022
Descripción
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.11. Se presenta una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria cuando la operación de recuperación se ejecuta con archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes causar un bloqueo permitiendo potencialmente un ataque de denegación de servicio (bloqueo, salida o reinicio) o una posible ejecución de código
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opendesign:drawings_software_development_kit:*:*:*:*:*:*:*:* | 2021.11 (excluyendo) | |
| cpe:2.3:a:siemens:comos:*:*:*:*:*:*:*:* | 10.4.1 (excluyendo) | |
| cpe:2.3:a:siemens:jt2go:*:*:*:*:*:*:*:* | 13.1.0.1 (excluyendo) | |
| cpe:2.3:a:siemens:teamcenter_visualization:*:*:*:*:*:*:*:* | 13.1.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-155599.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-663999.pdf
- https://www.opendesign.com/security-advisories
- https://www.zerodayinitiative.com/advisories/ZDI-21-220/
- https://www.zerodayinitiative.com/advisories/ZDI-21-240/
- https://www.zerodayinitiative.com/advisories/ZDI-21-243/