Múltiples vulnerabilidades en AutoDesk Products de Fortinet

---

08/04/2022

AutoDesk ha publicado parches de seguridad que subsanan múltiples vulnerabilidades en varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE) o divulgación de información.

Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”. Las principales se detallan a continuación:

• CVE-2022-27527 de severidad alta, sin una puntuación asignada aún. Esta falla se produce al ejecutarse un archivo PDF malicioso a través de la aplicación “Navisworks.exe” de AutoDesk Navisworks, que podría provocar un acceso a la memoria fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).

• CVE-2022-27525 de severidad alta, sin una puntuación asignada aún. Esta falla se produce en la decodificación de archivos de formato web de diseño (DWF). Al ejecutarse un archivo “.dwf” malicioso a través de la aplicación “DesignReview.exe”, podría provocar una escritura de memoria fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).

• CVE-2022-27524 de severidad alta, sin una puntuación asignada aún. Esta falla se produce en la decodificación de archivos “DWG” de Dibujo de AutoCAD. Al ejecutarse un archivo “dwg” malicioso a través de la aplicación “TrueView.exe”, podría provocar un acceso a la memoria de lectura fuera de límites. Un atacante podría aprovechar esta vulnerabilidad para filtrar información confidencial.

Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Los productos afectados son:

• Autodesk DWG TrueView versiones 2022.1.1 y anteriores, 2021.1.1 y anteriores, 2020.1.4 y anteriores, 2019.1.3 y anteriores.
• Autodesk Design Review versiones 2018 Hotfix 4 y anteriores.
• Autodesk Navisworks versiones 2022.1 y anteriores, 2021.2 y anteriores, 2020.3 y anteriores, 2019.5 y anteriores.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:

• Autodesk DWG TrueView: Where to download previous versions of DWG TrueView | DWG TrueView | Autodesk Knowledge Network.
• Autodesk Design Review: Autodesk Design Review 2018 Hotfix 5 | Search | Autodesk Knowledge Network.
• Autodesk Navisworks: User Guide | Navisworks Products 2022 | Autodesk Knowledge Network.

Referencias:

• https://www.fortinet.com/blog/threat-research/fortinet-security-researchers-discover-multiple-vulnerabilities-in-autodesk-products-dwg-trueview-navisworks-and-design-review?&web_view=true
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27526
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27525
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27524
• https://www.autodesk.com/trust/security-advisories/adsk-sa-2022-0004