Vulnerabilidad en el procedimiento de lectura de archivos DWG en Drawings SDK (CVE-2021-32948)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
17/06/2021
Última modificación:
14/02/2023
Descripción
Se presenta un problema de escritura fuera de límites en el procedimiento de lectura de archivos DWG en Drawings SDK (todas las versiones anteriores a 2022.4) resultando en una falta de comprobación apropiada de los datos suministrados por el usuario. Esto puede resultar en una escritura más allá del final de un búfer asignado y permitir a atacantes causar una condición de denegación de servicio o ejecutar código en el contexto del proceso actual
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opendesign:drawings_sdk:*:*:*:*:*:*:*:* | 2022.4 (excluyendo) | |
| cpe:2.3:a:siemens:comos:*:*:*:*:*:*:*:* | 10.4.1 (excluyendo) | |
| cpe:2.3:a:siemens:jt2go:*:*:*:*:*:*:*:* | 13.2.0.1 (excluyendo) | |
| cpe:2.3:a:siemens:teamcenter_visualization:*:*:*:*:*:*:*:* | 13.2.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-155599.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-365397.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-491245.pdf
- https://us-cert.cisa.gov/ics/advisories/icsa-21-159-02
- https://www.zerodayinitiative.com/advisories/ZDI-21-984/