Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25176)
Tipo:
Desreferencia a puntero nulo (NULL)
Gravedad:
Media
Fecha publicación :
18/01/2021
Última modificación:
04/03/2021
Descripción
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe una derivación de puntero nulo al renderizar archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes provocar un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:a:siemens:teamcenter_visualization:*:*:*:*:*:*:*:*
- cpe:2.3:a:siemens:jt2go:*:*:*:*:*:*:*:*
- cpe:2.3:a:opendesign:drawings_software_development_kit:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-663999.pdf (Origen: CONFIRM)
- https://www.opendesign.com/security-advisories (Origen: MISC)
- https://www.zerodayinitiative.com/advisories/ZDI-21-221/ (Origen: MISC)
- https://www.zerodayinitiative.com/advisories/ZDI-21-222/ (Origen: MISC)