BE-2022-0002: 3DM File Parsing Uninitialized Variable in MicroStation and MicroStation-based applications
ID Bentley : BE-2022-0002
ID CVE : CVE-2022-28320, CVE-2022-28319
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 05-042022
Date de révision : 05-04-2022
Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de variables non initialisées pour l'analyse de fichiers lors de l'ouverture de fichiers 3DM conçus de façon malveillante. L'exploitation de ces vulnérabilités pourrait entraîner l'exécution d'un code arbitraire.
Détails
Les vulnérabilités suivantes liées à cet avis ont été découvertes par TrendMicro ZDI : ZDI-CAN-16282 et ZDI-CAN-16340. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier 3DM contenant des données conçues de façon malveillante peut déclencher l'exécution d'un code arbitraire. L'exploitation de ces vulnérabilités dans le cadre de l'analyse de fichiers 3DM pourrait permettre à un attaquant d'exécuter du code de façon arbitraire dans le contexte du processus en cours.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* et versions antérieures | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* et versions antérieures | 10.16.03.* and more recent |
Mesures d'atténuation recommandées
Bentley recommande d'effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n'ouvrir que les fichiers 3DM provenant de sources fiables.
Remerciements
Merci à Mat Powell de l'initiative Zero Day de Trend Micro d'avoir découvert ces vulnérabilités.
Revision History
| Date | Description |
| 05-04-2022 | Première version de l’avis |
