Inicio / Alerta Temprana / Avisos Sci / Ejecución arbitraria de código en productos de Open Design Alliance

Ejecución arbitraria de código en productos de Open Design Alliance

Fecha de publicación: 
30/11/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • ODAViewer;
  • Drawings Explorer.
Descripción: 
Los investigadores Tran Van Khang y Mat Powell han publicado en ZDI múltiples vulnerabilidades por las que un atacante podría realizar una ejecución arbitraria de código en las instalaciones afectadas.
Solución: 

Open Design Alliance (ODA) ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en ODA Security Advisories.

Detalle: 

Es necesaria la interacción de un usuario, ya que este debe visitar una página maliciosa o abrir un archivo malicioso.

  • Los datos procesados en archivos U3D, TIF, DWF, JPG, DGN y DWFX pueden desencadenar una escritura fuera de los límites del búfer asignado. Se han asignado los identificadores CVE-2021-43279, CVE-2021-44046, CVE-2021-44048, CVE-2021-43280, CVE-2021-44044, CVE-2021-43390 y CVE-2021-44045 para estas vulnerabilidades.
  • La falta de validación de la existencia de un objeto antes de realizar operaciones con él. Se han asignado los identificadores CVE-2021-44047, CVE-2021-43280 y CVE-2021-43582 para estas vulnerabilidades.
  • La falta de validación adecuada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer basado en la pila (stack). Se ha asignado el identificador CVE-2021-43280 para esta vulnerabilidad.

Encuesta valoración