Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Múltiples vulnerabilidades detectadas en diferentes productos Autodesk

Fecha de publicación 17/08/2023
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a 2023, 2022 y 2021 de los siguientes productos de Autodesk que utilicen el componente PSKernel:

  • AutoCAD,
  • AutoCAD Architecture,
  • AutoCAD Electrical,
  • AutoCAD Map 3D,
  • AutoCAD Mechanical,
  • AutoCAD MEP,
  • AutoCAD Plant 3D,
  • AutoCAD LT,
  • Civil 3D,
  • Advance Steel,
  • Maya,
  • Navisworks,
  • Alias,
  • VRED.
Descripción

Han sido detectadas vulnerabilidades en varios productos de Autodesk. Estas podrían ser explotadas por un atacante, pudiendo escalar privilegios a nivel de administrador que no le corresponden para llevar a cabo acciones ilegítimas. Las vulnerabilidades son de severidad alta y del tipo escritura y lectura fuera de límites, desbordamiento de enteros y corrupción a la hora de escribir en memoria.

Solución

Autodesk recomienda a los usuarios de los productos mencionados aplicar las actualizaciones de seguridad más recientes (versiones 2024). Estas se pueden conseguir a través de Autodesk Access o el portal de cuentas

Recuerda la importancia de la gestión de incidentes de seguridad. La organización debe contar con planes para asegurar la continuidad del negocio en caso de ataques a la cadena de producción. Echa un vistazo a nuestras políticas de seguridad para garantizar la productividad ante posibles incidencias en la seguridad.

Conoce el caso real de una empresa que no hizo una buena planificación de las actualizaciones y descubre la importancia de llevar a cabo un plan de contingencia y continuidad de negocio en la organización.

Detalle

Se han generado múltiples archivos X_B con fines maliciosos. Dichos archivos podrían generar lecturas y escrituras fuera de límite, desbordamiento de datos o corrupción de memoria en la operación de escritura. Todos estos riesgos podrían provocar que un atacante adquiera la capacidad de ejecutar código para realizar acciones en su propio beneficio.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).