Vulnerabilidad en Dassault Système (CVE-2024-1624)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

01/03/2024

Última modificación:

01/03/2024

Descripción

Una vulnerabilidad de inyección de comandos del sistema operativo que afecta al servidor de documentación en 3DEXPERIENCE desde la versión 3DEXPERIENCE R2022x hasta la versión 3DEXPERIENCE R2024x, SIMULIA Abaqus desde la versión 2022 hasta la versión 2024, SIMULIA Isight desde la versión 2022 hasta la versión 2024 y CATIA Composer desde la versión R2023 hasta la versión R2024. Una solicitud HTTP especialmente manipulada puede provocar la ejecución de un comando arbitrario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.40

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.3ds.com/vulnerability/advisories