Se
ha reportado una vulnerabilidad
en Autodesk VRED Professional 2014. El problema, descubierto por Thomas
Fischer de Daimler TSS Technical Security, podría permitir a un atacante remoto
ejecutar código arbitrario.
Autodesk VRED es un software
especialmente dedicado para diseñadores de automóviles e ingenieros para crear
presentaciones de productos, revisiones de diseño y prototipos virtuales de
forma realista. Incorpora numerosas herramientas de ingeniería, diseño y de
análisis.
La vulnerabilidad, con
identificador CVE-2014-2967, podría
permitir a un atacante remoto valerse del servidor web que incorpora el propio
software para ejecutar código de forma remota. Este servidor web permite el
acceso a una API de Python la cual da acceso a un gran número de librerías, lo
que facilitaría al atacante el poder ejecutar comandos con los privilegios del
usuario que esté ejecutando el software.
Esta vulnerabilidad se ha
reportado en versiones anteriores a VRED 2014 SR1 SP8. Se recomienda actualizar
a VRED 2014 SR1 SP8 o superior.
Más información:
Autodesk VRED contains an unauthenticated
remote code execution vulnerability
3D visualization and virtual prototyping
software
Juan Sánchez
No hay comentarios:
Publicar un comentario