Tous les avis / BE-2022-0018

BE-2022-0018

BE-2022-0018: XMT File Parsing Out-of-bounds and Stack Overflow vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley : BE-2022-0018
ID CVE : CVE-2022-42901
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 12-10-2022
Date de révision : 12-10-2022

Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de lecture hors limites et de dépassement de pile lors de l’ouverture de fichiers XMT conçus de façon malveillante. L’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’informations et l’exécution de code.

Détails
L’utilisation d’une version affectée de MicroStation ou d’une application basée sur MicroStation pour ouvrir un fichier XMT contenant des données conçues de façon malveillante peut forcer une lecture ou une écriture hors limites ou l’exécution de code arbitraire. L’exploitation de ces vulnérabilités dans le cadre de l'analyse de fichiers XMT pourrait permettre à un attaquant d’exécuter du code de façon arbitraire dans le contexte du processus en cours.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation 10.17.0.* and prior versions 10.17.01.58* and more recent
Bentley View 10.17.0.* and prior versions 10.17.01.19 and more recent

 

Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers XMT provenant de sources fiables.

Remerciements
Merci à xina1i d’avoir découvert ces vulnérabilités.

Revision History

Date Description
12-10-2022 Première version de l’avis
13-10-2022 Adding CVE number

20 % de réduction sur les logiciels Bentley

L'OFFRE PREND FIN VENDREDI

Utilisez le code « THANKS24 »

Célébrez l'excellence en matière d'infrastructure et de performance

Year in Infrastructure 2024 et Going Digital Awards

Présentez un projet pour les prix les plus prestigieux en matière d'infrastructure ! La nouvelle date limite d'inscription est le 29 avril.