Pasar al contenido principal

Fecha de publicación: 05/02/2021

Importancia:Alta

Recursos afectados:

  • KeyShot, versiones anteriores a la 10.1;
  • KeyShot Viewer, versiones anteriores a la 10.1;
  • KeyShot Network Rendering, versiones anteriores a la 10.1;
  • KeyVR, versiones anteriores a la 10.1.

Descripción:

rgod, trabajando conjuntamente con Trend Micro's Zero Day Initiative, ha reportado múltiples vulnerabilidades que podrían permitir a un atacante la ejecución de código arbitrario, el almacenamiento de scripts arbitrarios en las carpetas de inicio automático y el ataque a los productos sin la suficiente advertencia de la interfaz de usuario.

Solución:

Actualizar a KeyShot (v10.1).

Detalle:

  • La escritura fuera de límites al procesar archivos de proyecto, podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22647 para esta vulnerabilidad.
  • La lectura fuera de límites al procesar archivos de proyecto, podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22643 para esta vulnerabilidad.
  • Los documentos .bip muestran un comando "load", que puede apuntar a un .dll desde un recurso compartido de red remoto. Esto hace que el .dll pueda ser ejecutado sin la suficiente advertencia de la UI. Se ha asignado el identificador CVE-2021-22645 para esta vulnerabilidad.
  • Múltiples problemas de desreferencia de puntero NULL al procesar archivos de proyecto, podrían permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22649 para esta vulnerabilidad.
  • Una vulnerabilidad de salto de directorios podría permitir a un atacante almacenar scripts arbitrarios en las carpetas de inicio automático, mediante la carga de un archivo especialmente diseñado. Se ha asignado el identificador CVE-2021-22651 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad

Compartir

Compartir en Linkedin