Sintesi

Autodesk risolve una vulnerabilità di sicurezza con gravità “alta” che interessa il prodotto DWG TrueView, utility per visualizzare e manipolare file DWG. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attaccante la compromissione della disponibilità del servizio, accedere a informazioni sensibili ed eseguire codice arbitrario sulle istanze interessate, tramite l’utilizzo di file DWG opportunamente predisposti.

Tipologia

• Arbitrary Code Execution
• Information Disclosure
• Denial of Service

Prodotti e/o versioni affette

Autodesk

• AutoCAD 2023, versioni precedenti alla 2023.1.5
• AutoCAD Architecture 2023, versioni precedenti alla 2023.1.5
• AutoCAD Electrical 2023, versioni precedenti alla 2023.1.5
• AutoCAD Map 3D 2023, versioni precedenti alla 2023.1.5
• AutoCAD Mechanical 2023, versioni precedenti alla 2023.1.5
• AutoCAD MEP 2023, versioni precedenti alla 2023.1.5
• AutoCAD Plant 3D 2023, versioni precedenti alla 2023.1.5
• Civil 3D 2023, versioni precedenti alla 2023.1.5
• Advance Steel 2023, versioni precedenti alla 2023.1.5
• DWG TrueView 2023, versioni precedenti alla 2023.1.5

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-23138

Riferimenti

https://www.autodesk.com/trust/security-advisories/adsk-sa-2024-0006

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.