Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25175)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-704
Conversión de tipos errónea
Fecha de publicación:
18/01/2021
Última modificación:
08/04/2022
Descripción
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe un problema de conversión de tipos al renderizar archivos .DXF y .DWG malformados. Esto puede permitir que los atacantes provoquen un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opendesign:drawings_software_development_kit:*:*:*:*:*:*:*:* | 2021.11 (excluyendo) | |
| cpe:2.3:a:siemens:comos:*:*:*:*:*:*:*:* | 10.4.1 (excluyendo) | |
| cpe:2.3:a:siemens:jt2go:*:*:*:*:*:*:*:* | 13.1.0.1 (excluyendo) | |
| cpe:2.3:a:siemens:teamcenter_visualization:*:*:*:*:*:*:*:* | 13.1.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-155599.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-663999.pdf
- https://www.opendesign.com/security-advisories
- https://www.zerodayinitiative.com/advisories/ZDI-21-218/
- https://www.zerodayinitiative.com/advisories/ZDI-21-223/
- https://www.zerodayinitiative.com/advisories/ZDI-21-224/
- https://www.zerodayinitiative.com/advisories/ZDI-21-244/
- https://www.zerodayinitiative.com/advisories/ZDI-21-245/
- https://www.zerodayinitiative.com/advisories/ZDI-21-246/