BE-2022-0017: SKP File Parsing Out-of-bounds Read Vulnerabilities and Stack Overflow in MicroStation and MicroStation-based applications
ID Bentley : BE-2022-0017
ID CVE : CVE-2022-42899
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 12-10-2022
Date de révision : 12-10-2022
Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de lecture hors limites et de dépassement de pile lors de l’ouverture de fichiers SKP conçus de façon malveillante. L’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’informations et l’exécution arbitraire de code.
Détails
L’utilisation d’une version affectée de MicroStation ou d’une application basée sur MicroStation pour ouvrir un fichier SKP contenant des données conçues de façon malveillante peut forcer une lecture hors limites ou l’exécution de code arbitraire. L’exploitation de ces vulnérabilités dans le cadre du traitement des fichiers SKP pourrait permettre à un attaquant de lire des informations dans le contexte du processus en cours ou d’exécuter du code arbitraire.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
MicroStation | 10.17.0.* and prior versions | 10.17.01.58* and more recent |
Bentley View | 10.17.0.* and prior versions | 10.17.01.19 and more recent |
Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers SKP provenant de sources fiables.
Remerciements
Merci à xina1i d’avoir découvert ces vulnérabilités.
Revision History
Date | Description |
12-10-2022 | Première version de l’avis |
13-10-2022 | Adding CVE number |