ProduktDrawings SDK, wersje wcześniejsze niż 2022.4
Drawing SDK, wersja 2022.4 jest podatna na CVE-2021-32946 i CVE-2021-32952
Numer CVECVE-2021-32936
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW procedurze odzyskiwania plików DXF występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu.
Numer CVECVE-2021-32946
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNiewłaściwe sprawdzenie pod kątem nietypowych lub wyjątkowych warunków występuje w plikach DGN wynikające z braku właściwej walidacji danych dostarczonych przez użytkownika. Może to spowodować błąd out-of-bounds i umożliwić atakującym wywołanie stanu odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu.
Numer CVECVE-2021-32948
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW procedurze odczytu plików DWG występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu.
Numer CVECVE-2021-32952
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW procedurze odczytu plików DGN występuje błąd out-of-boudns write wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować zapisem poza koniec przydzielonego bufora i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu.
Numer CVECVE-2021-32944
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW procedurze odczytu plików DGN występuje błąd use-after-free wynikający z braku prawidłowej walidacji danych dostarczonych przez użytkownika. Może to skutkować uszkodzeniem pamięci i umożliwić atakującym wywołanie warunku odmowy usługi lub wykonanie kodu w kontekście bieżącego procesu.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-159-02