BE-2023-0001 : Seequent LeapFrog WebP vulnérabilité de débordement de tampons
ID Bentley : BE-2023-0001
ID CVE : CVE-2023-4863
Gravité : 8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 27-{13}-{14}
Date de révision : {15}-{16}-{17}
Résumé
Les applications Leapfrog peuvent être affectées par des vulnérabilités de dépassement de tampon lors de l’ouverture de fichiers WebP conçus de façon malveillante. L’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’informations ou l’exécution arbitraire de code.
Détails
L’utilisation d’une version affectée des applications Leapfrog pour ouvrir un fichier WebP contenant des données conçues de façon malveillante peut forcer un débordement de tampon dans la bibliothèque libwebp. L'exploitation de cette vulnérabilité dans le cadre de l'analyse de fichiers WebP pourrait permettre à un attaquant d'effectuer une écriture mémoire hors limite dans le contexte du processus en cours.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
Seequent LeapFrog | 2023.1.* et versions antérieures | 2023.2 et plus |
Mesures d'atténuation recommandées
Seequent, The Bentley Subsurface Company, recommande d'effectuer la mise à jour vers les dernières versions des applications LeapFrog. En règle générale, il est également recommandé de n'ouvrir que les fichiers WebP provenant de sources fiables.
Acknowledgement
Revision History
Date | Description |
27-10-2023 | Première version de l’avis |