BE-2022-0018: Vulnerabilidades de análise de arquivo XMT fora dos limites e estouro de pilha em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0018
ID CVE: CVE-2022-42901
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2022-10-12
Data de revisão: 2022-10-12
Resumo
As aplicações baseadas em MicroStation e MicroStation podem ser afetadas por vulnerabilidades de leitura fora dos limites e estouro de pilha ao abrir arquivos XMT criados com códigos maliciosos. A exploração dessas vulnerabilidades poderia levar à divulgação de informações e à execução de códigos.
Detalhes
O uso de uma versão afetada do MicroStation ou de um aplicativo baseado em MicroStation para abrir um arquivo XMT contendo dados criados com códigos maliciosos pode forçar uma leitura ou gravação fora dos limites e pode forçar a execução de código arbitrário. A exploração destas vulnerabilidades dentro da análise dos arquivos XMT poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.17.0.* e versões anteriores | 10.17.01.58* e mais recentes |
| Bentley View | 10.17.0.* e versões anteriores | 10.17.01.19 e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos XMT provenientes de fontes confiáveis.
Reconhecimento
Obrigado a xina1i por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-10-12 | Primeira versão da assessoria |
| 2022-10-13 | Acréscimo do número de CVE |
