Autodesk ha llançat pedaços de seguretat que corregixen múltiples vulnerabilitats del seu producte, AutoCAD i d’altres basats en este. L’explotació de les vulnerabilitats detectades pot provocar l’execució de codi, però perquè siguen explotades, cal la interacció de la persona usuària.
Anàlisi
Totes les vulnerabilitats detectades es troben classificades amb una severitat alta i estan relacionades amb la manipulació d’arxius maliciosos de diferents formats. Cal destacar que, per a ser explotades, necessiten la interacció de la persona usuària, ja que és necessari obrir un arxiu maliciós.
Estes vulnerabilitats inclouen problemes de variables no inicialitzades, lectura fora de límits, desbordament de la memòria intermèdia (buffer) basada en monticle, corrupció de memòria i ús després de l’alliberament. Estos errors ocorren quan un programa no gestiona correctament la memòria.
Un atacant pot aprofitar estes vulnerabilitats per a poder llegir dades sensibles, fer un bloqueig del programa o explotar codi arbitrari.
Els detalls de les vulnerabilitats són els següents:
- CVE-2025-1427 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1649 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1650 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1428 : Un arxiu CATPART creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1429 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de desbordament basat en monticle. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1651 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de desbordament basat en monticle. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1430 : Un arxiu SLDPRT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de corrupció de memòria. Un agent maliciós pot aprofitar esta vulnerabilitat per a executar codi arbitrari en el context del procés actual.
- CVE-2025-1432 : Un arxiu 3DM creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat d’ús després de l’alliberament. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1433 :Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
- CVE-2025-1433 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
Recursos afectats
Productes Autodesk afectats versions 2025:
- AutoCAD
- AutoCAD Architecture
- AutoCAD Electrical
- AutoCAD Mechanical
- AutoCAD MEP
- AutoCAD Plant 3D
- Civil 3D
- Advance Steel
- AutoCAD Map 3D
Recomanacions
Austodesk insta els usuaris a actualitzar el microprogramari (firmware) a la versió 2025.1.2 que corregix estes vulnerabilitats. A més, es recomana que les persones usuàries només òbriguen arxius que s’hagen rebut des de remitents de confiança.
Referències