BE-2023-0001: vulnerabilidade de estouro de buffer baseado em heap do Seequent LeapFrog WebP
Bentley ID: BE-2023-0001
ID CVE: CVE-2023-4863
Gravidade: 8
CVSS v3.1: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 27-10-2023
Data de revisão: 27-10-2023
Resumo
Os aplicativos LeapFrog podem ser afetados por uma vulnerabilidade de buffer overflow baseada em heap ao abrir arquivos WebP criados com códigos maliciosos. A exploração dessas vulnerabilidades pode levar à divulgação de informações ou execução de código arbitrário.
Detalhes
O uso de uma versão afetada do aplicativo LeapFrog para abrir um arquivo WebP contendo dados criados de forma maliciosa pode forçar um estouro de buffer baseado em heap na biblioteca libwebp. A exploração dessa vulnerabilidade dentro da análise de arquivos WebP pode permitir que um invasor realize uma escrita de memória fora dos limites e possa levar à execução de código no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| LeapFrog da Seequent | 2023.1.* e versões anteriores | 2023.2 e superior |
Mitigações recomendadas
A Seequent, a empresa de subsuperfície da Bentley, recomenda a atualização para as versões mais recentes dos aplicativos LeapFrog. Como melhor prática geral, também é recomendado abrir somente arquivos WebP provenientes de fontes confiáveis.
Agradecimentos
Histórico de revisão
| Data | Descrição |
| 2023-10-27 | Primeira versão da assessoria |
