Hoppa yfir valmynd

Alvarlegir veikleikar í Autodesk InfoWorks WS Pro og InfoWorks ICM

28. des. 2023

Tilkynnt var um nokkra alvarlega veikleika í InfoWorks WS Pro og InfoWorks ICM hjá Autodesk InfoWorks WS Pro er hugbúnaður fyrir hönnun og rekstur vatnsdreifikerfa, en InfoWorks ICM er hugbúnaður ætlaður til líkanagerðar og greiningar á fráveitukerfum og yfirborðsvatni. CERT-IS mælir með að útfæra þær mótvægisaðgerðir samkvæmt upplýsingum frá fyrirtæki eins fljótt og auðið er.

Alvarlegir veikleikar (e. critical)

CVE-2017-12627
Veikleikinn CVE-2017-12627 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í Apache Xerces-C XML Parser.

CVE-2019-19317
Veikleikinn CVE-2019-19317 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í SQLite sem getur valdið álagsárás (e. Denial of service).

CVE-2020-27304
Veikleikinn CVE-2020-27304 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í CivetWeb sem getur valdið flökkun á milli skráarsafna (e. Directory traversal).

CVE-2022-37434
Veikleikinn CVE-2022-37434 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í zlib sem getur valdið yfirskrifun á hrúgubiðminni eða yfirflæði á biðminni með sérbúnum auka reit í gzip header.

CVE-2018-8780
Veikleikinn CVE-2018-8780 með CVSSv3 skor uppá 9.1 gerir ógnaraðila kleift að misnota veikleika í Ruby sem getur valdið flökkun á milli skráarsafna (e. Directory traversal).

Eftirfarandi kerfi eru veik fyrir göllunum:

Autodesk InfoWorks WS Pro: 2024, 2023
Autodesk InfoWorks ICM: 2024, 2023

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

Autodesk InfoWorks WS Pro: 2024.5, 2023.2.4
Autodesk InfoWorks ICM: 2024.5, 2023.2.5

Tilvísanir:
• [1] https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0024