AutoDesk ha publicado parches de seguridad que subsanan múltiples vulnerabilidades en varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE) o divulgación de información.
Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-27527 de severidad alta, sin una puntuación asignada aún. Esta falla se produce al ejecutarse un archivo PDF malicioso a través de la aplicación “Navisworks.exe” de AutoDesk Navisworks, que podría provocar un acceso a la memoria fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
- CVE-2022-27525 de severidad alta, sin una puntuación asignada aún. Esta falla se produce en la decodificación de archivos de formato web de diseño (DWF). Al ejecutarse un archivo “.dwf” malicioso a través de la aplicación “DesignReview.exe”, podría provocar una escritura de memoria fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
- CVE-2022-27524 de severidad alta, sin una puntuación asignada aún. Esta falla se produce en la decodificación de archivos “DWG” de Dibujo de AutoCAD. Al ejecutarse un archivo “dwg” malicioso a través de la aplicación “TrueView.exe”, podría provocar un acceso a la memoria de lectura fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para filtrar información confidencial.
Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Los productos afectados son:
- Autodesk DWG TrueView versiones 2022.1.1 y anteriores, 2021.1.1 y anteriores, 2020.1.4 y anteriores, 2019.1.3 y anteriores.
- Autodesk Design Review versiones 2018 Hotfix 4 y anteriores.
- Autodesk Navisworks versiones 2022.1 y anteriores, 2021.2 y anteriores, 2020.3 y anteriores, 2019.5 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
- Autodesk DWG TrueView: Where to download previous versions of DWG TrueView | DWG TrueView | Autodesk Knowledge Network.
- Autodesk Design Review: Autodesk Design Review 2018 Hotfix 5 | Search | Autodesk Knowledge Network.
- Autodesk Navisworks: User Guide | Navisworks Products 2022 | Autodesk Knowledge Network.
Referencias:
- https://www.fortinet.com/blog/threat-research/fortinet-security-researchers-discover-multiple-vulnerabilities-in-autodesk-products-dwg-trueview-navisworks-and-design-review?&web_view=true
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27526
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27525
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27524
- https://www.autodesk.com/trust/security-advisories/adsk-sa-2022-0004