Especialistas en ciberseguridad reportan la detección de diversas vulnerabilidades en Autodesk InfraWorks. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de múltiples tareas de hacking.
A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-40156: Un error de límite dentro del análisis de archivos DWG permitiría a los hackers remotos crear archivos especialmente diseñados para desencadenar una lectura fuera de límites y ejecutar código arbitrario en el sistema afectado.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.
CVE-2021-29425: Un error de validación de entrada dentro del método FileNameUtils.normalize al procesar secuencias transversales de directorio permitiría a los actores de amenazas remotos enviar una solicitud especialmente diseñada y verificar la disponibilidad de archivos en la carpeta principal.
Esta es una falla de baja severidad y recibió un puntaje CVSS de 3.2/10.
CVE-2019-11358: La contaminación del prototipo en la aplicación afectada permitiría a los hackers remotos engañar a la función de extensión para modificar el prototipo de Object, siempre y cuando el atacante controle parte de la estructura que se pasa a esta función. La explotación exitosa de esta falla desencadenaría una condición de denegación de servicio (DoS).
La vulnerabilidad recibió un puntaje CVSS de 4.8/10.
CVE-2020-11022: La desinfección insuficiente de los datos proporcionados por el usuario en la operación de expresiones regulares en “jQuery.htmlPrefilter” permitiría a los actores de amenazas remotos pasar datos especialmente diseñados a la aplicación que utiliza .html(), .append() o métodos similares, ejecutando código JavaScript arbitrario en el navegador del usuario en el contexto de un sitio web vulnerable.
La falla es de severidad media y recibió un puntaje CVSS de 5.5/10.
CVE-2020-11023: La desinfección insuficiente de los datos proporcionados por el usuario al pasar elementos <option> a los métodos de manipulación DOM de jQuery permitiría a los hackers ejecutar JavaScript arbitrario en el contexto de un sitio web expuesto.
La vulnerabilidad recibió un puntaje CVSS de 4.2/10 y su explotación exitosa permitiría desplegar ataques de scripts entre sitios (XSS).
CVE-2021-40155: Una condición límite dentro del análisis de archivos DWG permitiría a los actores de amenazas remotos crear archivos especialmente diseñados para acceder al contenido en la memoria del sistema.
Esta es una falla de baja severidad y recibió un puntaje CVSS de 3.8/10.
Según el reporte, las fallas identificadas residen en las siguientes versiones de Autodesk InfraWorks: 2019.3, 2020.2, 2021.2, 2022.0 y 2022.1.
Si bien estas fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, debe recordar que existen algunos exploits disponibles públicamente, por lo que lo mejor será actualizar a la más reciente versión de Autodesk cuanto antes.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).