Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades en el componente PDFTron de Autodesk Navisworks. Acorde a los reportes, la explotación exitosa de las vulnerabilidades permitiría el despliegue de severos escenarios de riesgo.
A continuación se muestran breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2021-40160: Una condición de límite en el componente PDFTron al analizar archivos PDF permitiría a los actores de amenazas crear archivos PDF especialmente diseñados para engañar a la víctima y acceder al contenido en la memoria de los sistemas afectados.
La vulnerabilidad recibió un puntaje CVSS de 3.8/10 y su explotación podría resultar en el acceso a la información afectada.
CVE-2021-40161: El componente PDFTron carga bibliotecas DLL de manera insegura, por lo que los actores de amenazas remotos podrían colocar un archivo .dll especialmente diseñado en un recurso compartido de archivos SMB remoto y ejecutar código arbitrario en los sistemas afectados.
Esta es una falla de alta severidad y recibió un puntaje CVSS de 8.3/10.
Las fallas fueron detectadas en las siguientes versiones de Autodesk Navisworks: 2019, 2019.1, 2019.2, 2019.3, 2019.4, 2019.5, 2020, 2020.1, 2020.2, 2020.3, 2021, 2021.1, 2021.2 y 2022.
Estas vulnerabilidades pueden ser explotadas de forma remota por actores de amenazas no autenticados, aunque no se han reportado intentos de explotación activa. Aún así, los especialistas en ciberseguridad recomiendan actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.