Vulnerabilidad en el análisis de archivos DWG en Drawings SDK (CVE-2021-32938)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
17/06/2021
Última modificación:
14/02/2023
Descripción
Drawings SDK (todas las versiones anteriores a 2022.4) es vulnerable a una lectura fuera de límites debido al análisis de archivos DWG resultando en una falta de comprobación apropiada de los datos suministrados por el usuario. Esto puede resultar en una lectura más allá del final de un búfer asignado y permite a atacantes causar una condición de denegación de servicio o leer información confidencial de la memoria
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opendesign:drawings_sdk:*:*:*:*:*:*:*:* | 2022.4 (excluyendo) | |
| cpe:2.3:a:siemens:comos:*:*:*:*:*:*:*:* | 10.4.1 (excluyendo) | |
| cpe:2.3:a:siemens:jt2go:*:*:*:*:*:*:*:* | 13.2.0.1 (excluyendo) | |
| cpe:2.3:a:siemens:teamcenter_visualization:*:*:*:*:*:*:*:* | 13.2.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-155599.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-365397.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-491245.pdf
- https://us-cert.cisa.gov/ics/advisories/icsa-21-159-02
- https://www.zerodayinitiative.com/advisories/ZDI-21-980/