JVNVU#95145431
Open Design Alliance 製 Drawings SDK における複数の脆弱性

Open Design Alliance が提供する Drawings SDK には、複数の脆弱性が存在します。

CVE-2021-32946、CVE-2021-32952

• Drawings SDK バージョン 2022.5 より前のすべてのバージョン

• Drawings SDK バージョン 2022.4 より前のすべてのバージョン

Open Design Alliance が提供する Drawings SDK は、製図用ソフトウェア開発キットです。
当該製品には、次の複数の脆弱性が存在します。

• 境界外読み取り (CWE-125) - CVE-2021-32938

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

  基本値: 4.4

• 境界外書き込み (CWE-787) - CVE-2021-32936

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 境界外読み取り (CWE-125) - CVE-2021-32940

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

  基本値: 4.4

• DGN ファイルの異常または例外条件に対する不適切なチェック (CWE-754) - CVE-2021-32946

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 境界外書き込み (CWE-787) - CVE-2021-32948

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 境界外読み取り (CWE-125) - CVE-2021-32950

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L

  基本値: 4.4

• 境界外書き込み (CWE-787) - CVE-2021-32952

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 解放済みメモリの使用 (use-after-free) (CWE-416) - CVE-2021-32944

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 攻撃者によって細工された DWG ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32938
• 攻撃者によって細工された DXF ファイルをリカバリ経由で開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32936
• 攻撃者によって細工された DWG ファイルをリカバリ経由で開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32940
• 攻撃者によって細工された DGN ファイルを読み取ることで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32946、CVE-2021-32952
• 攻撃者によって細工された DWG ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32948
• 攻撃者によって細工された DXF ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32950
• 攻撃者によって攻撃者によって細工された DGN ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、任意のコードを実行されたりする - CVE-2021-32944

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は Drawings SDK バージョン 2022.5 以降のバージョンにアップデートすることを推奨しています。