| Produkt | Drawings SDK, wersje wcześniejsze niż 2022.4 Drawing SDK, wersja 2022.4 jest podatna na CVE-2021-32946 i CVE-2021-32952 |
| Numer CVE | CVE-2021-32936 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | W procedurze odzyskiwania plików DXF występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-32946 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Niewłaściwe sprawdzenie pod kątem nietypowych lub wyjątkowych warunków występuje w plikach DGN wynikające z braku właściwej walidacji danych dostarczonych przez użytkownika. Może to spowodować błąd out-of-bounds i umożliwić atakującym wywołanie stanu odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-32948 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | W procedurze odczytu plików DWG występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-32952 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | W procedurze odczytu plików DGN występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-32944 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | W procedurze odczytu plików DGN występuje błąd use-after-free wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować uszkodzeniem pamięci i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu. |
| Aktualizacja | TAK |
| Link | https://us-cert.cisa.gov/ics/advisories/icsa-21-159-02 |
ICS-CERT informuje o nowych podatnościach w produktach firmy Open Design Alliance
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny