Múltiples vulnerabilidades en productos de Open Design Alliance (ODA)
Fecha de publicación 20/12/2023
Identificador
INCIBE-2023-0576
Importancia
4 - Alta
Recursos Afectados
Drawing SDK: versiones anteriores a 2024.1
Descripción
Mat Powell y Jimmy Calderon, de Trend Micro Zero Day Initiative, han reportado 3 vulnerabilidades de severidad alta que podrían permitir a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de ODA Drawing SDK.
Solución
Consultar el aviso de seguridad de la AOD 24.1 y 23.6.
Detalle
- La vulnerabilidad CVE-2023-26495 hace referencia a la memoria después de haber sido liberada. La explotación de esta vulnerabilidad requiere que el objetivo visite una página maliciosa o abra un archivo malicioso. Un atacante podría aprovechar esta vulnerabilidad junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual.
- Las vulnerabilidades CVE-2023-2266 y CVE-2023-22670, de tipo desbordamiento de búfer basado en montón, podrían permitir a un atacante ejecutar código en el contexto del proceso actual.