BE-2023-0001: Podatność Seequent LeapFrog związana z przepełnieniem bufora na stosie dla plików WebP
Identyfikator Bentley: BE-2023-0001
Identyfikator CVE: CVE-2023-4863
Poziom ważności: 8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji: 27-10-2023
Data zmiany: 27-10-2023
Podsumowanie
Aplikacje LeapFrog mogą być podatne na przepełnienie bufora oparte na stosie podczas otwierania złośliwie spreparowanych plików WebP. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji lub wykonania dowolnego kodu.
Szczegóły
Użycie zagrożonej wersji aplikacji LeapFrog do otwarcia pliku WebP zawierającego złośliwie spreparowane dane może spowodować przepełnienie bufora oparte na stosie w bibliotece libwebp. Wykorzystanie tej luki podczas analizowania plików WebP może umożliwić atakującemu wykonanie zapisu pamięci poza granicami, co może prowadzić do wykonania kodu w kontekście bieżącego procesu.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| Seequent LeapFrog | 2023.1.* i wersje wcześniejsze | 2023.2 i wyższe |
Zalecane środki zaradcze
Seequent, spółka Bentley zajmująca się strukturami podziemnymi, zaleca aktualizację do najnowszych wersji aplikacji LeapFrog. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików WebP pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Historia zmian
| Data | Opis |
| 27-10-2023 | Pierwsza wersja poradnika |
