Vulnerabilidad en Omniverse Kit (CVE-2022-42268)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
13/01/2023
Última modificación:
07/11/2023
Descripción
Omniverse Kit contiene una vulnerabilidad en las aplicaciones de referencia Create, Audio2Face, Isaac Sim, View, Code y Machinima. Estas aplicaciones permiten incrustar código Python ejecutable en archivos de descripción de escena universal (USD) para personalizar todos los aspectos de una escena. Si un usuario abre un archivo USD que contiene código Python incrustado en una de estas aplicaciones, el código Python incrustado se ejecuta automáticamente con los privilegios del usuario que abrió el archivo. Como resultado, un atacante remoto sin privilegios podría crear un archivo USD que contenga código Python malicioso y persuadir a un usuario local para que abra el archivo, lo que puede provocar la divulgación de información, la manipulación de datos y la denegación de servicio.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nvidia:nvidia_isaac_sim:*:*:*:*:*:*:*:* | 2022.2.0 (excluyendo) | |
| cpe:2.3:a:nvidia:omniverse_audio2face:*:*:*:*:*:*:*:* | 2022.2 (excluyendo) | |
| cpe:2.3:a:nvidia:omniverse_code:*:*:*:*:*:*:*:* | 2022.3.0 (excluyendo) | |
| cpe:2.3:a:nvidia:omniverse_create:*:*:*:*:*:*:*:* | 2022.3 (excluyendo) | |
| cpe:2.3:a:nvidia:omniverse_machinima:*:*:*:*:*:*:*:* | 2022.3 (excluyendo) | |
| cpe:2.3:a:nvidia:omniverse_view:*:*:*:*:*:*:*:* | 2022.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página