Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el analizador XML en un archivo 3DXM en KeyShot (CVE-2021-27492)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
27/05/2021
Última modificación:
09/06/2021

Descripción

Cuando se abre un archivo 3DXML especialmente diseñado, la aplicación que contiene las bibliotecas de software Datakit CatiaV5_3dRead, CatiaV6_3dRead, Step3dRead, Ug3dReadPsr, Jt3dReadPsr en KeyShot Versiones v10.1 y anteriores, podría divulgar archivos arbitrarios a atacantes remotos. Esto es debido al paso de contenido especialmente diseñado al analizador XML subyacente sin tomar las restricciones apropiadas, como prohibir un DTD externo

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:datakit:crosscadware:*:*:*:*:*:*:*:* 2021.1 (incluyendo)
cpe:2.3:a:luxion:keyshot:*:*:*:*:*:*:*:* 10.1 (incluyendo)
cpe:2.3:o:siemens:solid_edge_se2020_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:siemens:solid_edge_se2020:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:solid_edge_se2021_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:siemens:solid_edge_se2021:-:*:*:*:*:*:*:*