BE-2023-0001: Vulnerabilità di buffer overflow basata su stack di file WebP di Leapfrog di Seequent
ID Bentley: BE-2023-0001
ID CVE: CVE-2023-4863
Gravità: 8
CVSS v3.1: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 27-10-2023
Data di revisione: 27-10-2023
Riepilogo
Le applicazioni di LeapFrog potrebbero essere affette da una vulnerabilità di buffer overflow dell'heap durante l'apertura di file WebP creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare alla divulgazione di informazioni o all'esecuzione di codice arbitrario.
Dettagli
L'utilizzo di una versione interessata dell'applicazione LeapFrog per aprire un file WebP contenente dati creati in modo dannoso può forzare un buffer overflow nella libreria libwebp. Lo sfruttamento di questa vulnerabilità nell'ambito dell'analisi dei file WebP potrebbe consentire a un attaccante di eseguire una scrittura di memoria fuori dai limiti e potrebbe portare all'esecuzione di codice nel contesto del processo corrente.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
Seequent LeapFrog | 2023.1.* e versioni precedenti | 2023.2 e superiore |
Mitigazioni consigliate
Seequent, The Bentley Subsurface Company, raccomanda l'aggiornamento alle ultime versioni delle applicazioni LeapFrog. Si raccomanda inoltre di aprire solo i file WebP provenienti da fonti affidabili.
Acknowledgement
Revision History
Date | Descrizione |
27-10-2023 | Prima versione dell'avviso |