Múltiples vulnerabilidades en Open Design Alliance (ODA) ODAViewer

Fecha de publicación:

16/11/2021

Importancia:

4 - Alta

Recursos afectados:

Open Design Alliance (ODA) ODAViewer, versiones anteriores a 2022.11.

Descripción:

Mat Powell, de ZDI Trend Micro, ha descubierto 3 vulnerabilidades, 1 de severidad alta y 2 bajas, que podrían permitir a un atacante remoto divulgar información sensible y ejecutar código arbitrario.

Solución:

Actualizar ODA ODAViewer a la versión 2022.11.

Detalle:

La vulnerabilidad se sitúa en el parseo de los archivos DWG, debido a la falta de validación de la existencia de un objeto antes de realizar operaciones sobre el mismo. Se ha asignado el identificador CVE-2021-43582 para esta vulnerabilidad alta.

Para el resto de vulnerabilidades se ha asignado el identificador CVE-2021-43581.

Referencias:

ODA Security Advisories

ZDI-21-1310: Open Design Alliance (ODA) ODAViewer U3D File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability

ZDI-21-1311: Open Design Alliance (ODA) ODAViewer U3D File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability

ZDI-21-1312: Open Design Alliance (ODA) ODAViewer DWG File Parsing Use-After-Free Remote Code Execution Vulnerability

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Open Design Alliance (ODA) ODAViewer

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron