Vulnerabilidad en el analizador XML en un archivo 3DXM en KeyShot (CVE-2021-27492)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
27/05/2021
Última modificación:
09/06/2021
Descripción
Cuando se abre un archivo 3DXML especialmente diseñado, la aplicación que contiene las bibliotecas de software Datakit CatiaV5_3dRead, CatiaV6_3dRead, Step3dRead, Ug3dReadPsr, Jt3dReadPsr en KeyShot Versiones v10.1 y anteriores, podría divulgar archivos arbitrarios a atacantes remotos. Esto es debido al paso de contenido especialmente diseñado al analizador XML subyacente sin tomar las restricciones apropiadas, como prohibir un DTD externo
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:datakit:crosscadware:*:*:*:*:*:*:*:* | 2021.1 (incluyendo) | |
cpe:2.3:a:luxion:keyshot:*:*:*:*:*:*:*:* | 10.1 (incluyendo) | |
cpe:2.3:o:siemens:solid_edge_se2020_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:siemens:solid_edge_se2020:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:siemens:solid_edge_se2021_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:siemens:solid_edge_se2021:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página