nvd
Bentley
Уязвимости
224
Эксплуатируемые
2
Критический
2
Высокий
162
Топ продуктов
Топ уязвимостей
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2023-4863Переполнение буфера на основе кучи в libwebp в Google Chrome до версии 116.0.5845.187 и libwebp 1.3.2 позволило удалённому злоумышленнику выполнить запись памяти за пределами границ через поддельную HTML-страницу. (Серьезность безопасности Chromium: Критическая)
CVE-2023-51708Приложения Bentley eB System Management Console в Assetwise Integrity Information Server позволяют не прошедшему проверку подлинности пользователю просматривать параметры конфигурации через специально созданный запрос, что приводит к раскрытию информации. Это затрагивает eB System management Console до версии 23.00.02.03 и Assetwise ALIM For Transportation до версии 23.00.01.25.
CVE-2023-44430Уязвимость Bentley View SKP File Parsing Use-After-Free Remote Code Execution. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bentley View. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку жертва должна посетить вредоносную страницу или открыть вредоносный файл.
Конкретная ошибка существует в процессе анализа файлов SKP. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Ранее было ZDI-CAN-19067.
CVE-2022-43655Уязвимость удаленного выполнения кода из-за переполнения буфера на основе кучи при анализе FBX-файлов Bentley View. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в уязвимых установках Bentley View. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл.
Конкретный недостаток существует в процессе анализа FBX-файлов. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе кучи. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-18491.
CVE-2022-43653Уязвимость удаленного выполнения кода из-за записи за пределами выделенной области памяти при анализе SKP-файлов Bentley View. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bentley View. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл.
Конкретная ошибка существует при анализе файлов SKP. Специально созданные данные в файле SKP могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-19084.
CVE-2022-43651Уязвимость удаленного выполнения кода при использовании памяти после освобождения при анализе SKP-файлов Bentley View. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bentley View. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл.
Конкретная ошибка существует при анализе файлов SKP. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций с объектом. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-18960.
CVE-2022-42901Bentley MicroStation и приложения на основе MicroStation могут быть подвержены проблемам чтения за пределами выделенной памяти и переполнения стека при открытии специально созданных XMT-файлов. Эксплуатация этих проблем может привести к раскрытию информации и выполнению кода. Исправленные версии: 10.17.01.58* для MicroStation и 10.17.01.19* для Bentley View.
CVE-2022-42900Bentley MicroStation и приложения на основе MicroStation могут быть подвержены проблемам чтения за пределами выделенной памяти при открытии специально созданных FBX-файлов. Эксплуатация этих проблем может привести к раскрытию информации и выполнению кода. Исправленные версии: 10.17.01.58* для MicroStation и 10.17.01.19* для Bentley View.
CVE-2022-42899Bentley MicroStation и приложения на основе MicroStation могут быть подвержены проблемам чтения за пределами выделенной памяти и переполнения стека при открытии специально созданных SKP-файлов. Эксплуатация этих проблем может привести к раскрытию информации и выполнению кода. Исправленные версии: 10.17.01.58* для MicroStation и 10.17.01.19* для Bentley View.
CVE-2022-41613Версии Bentley Systems MicroStation Connect
10.17.0.209 и ранее уязвимы к чтению за пределами пределов при разборе DGN-файлов, что может позволить злоумышленнику сбой продукта, раскрыть конфиденциальную информацию или выполнить произвольный код.
CVE-2022-40201Версии Bentley Systems MicroStation Connect 10.17.0.209 и ранее уязвимы к переполнению буфера на основе стека при разборах неправильно сформированного дизайна (файла DGN). Это может позволить злоумышленнику выполнить произвольный код.
CVE-2022-28647Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.2.034. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов IFC. Искусственно созданные данные в файле IFC могут вызвать чтение за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16573.
CVE-2022-28646Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.2.034. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов IFC. Искусственно созданные данные в файле IFC могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16570.
CVE-2022-28644Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов DGN. Искусственно созданные данные в файле DGN могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16469.
CVE-2022-28643Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов DGN. Искусственно созданные данные в файле DGN могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16468.
CVE-2022-28642Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов DGN. Искусственно созданные данные в файле DGN могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16424.
CVE-2022-28641Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов IFC. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над объектом. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16390.
CVE-2022-28320Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley View 10.16.02.022. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов 3DM. Проблема возникает из-за отсутствия правильной инициализации памяти перед её использованием. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16282.
CVE-2022-28319Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.034. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов 3DM. Проблема возникает из-за отсутствия правильной инициализации памяти перед её использованием. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16340.
CVE-2022-28318Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в уязвимых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, а именно целевой пользователь должен посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка существует при анализе файлов IFC. Обработанные данные в файле IFC могут вызвать запись за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Была ZDI-CAN-16379.
CVE-2022-28317Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов IFC. Проблема возникает из-за отсутствия правильной инициализации памяти перед её использованием. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16369.
CVE-2022-28316Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная ошибка заключается в парсинге файлов IFC. Искусственно созданные данные в файле IFC могут вызвать запись за пределами выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-16368.
CVE-2022-28315Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие пользователя: целевая сторона должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует внутри парсинга файлов IFC. Проблема вызвана отсутствием надлежащей проверки длины данных, предоставленных пользователем, перед копированием их в фиксированный по длине стек. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Было ZDI-CAN-16367.
CVE-2022-28314Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Bentley MicroStation CONNECT 10.16.02.34. Для эксплуатации этой уязвимости требуется взаимодействие пользователя: целевая сторона должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует внутри парсинга файлов IFC. Созданные данные в файле IFC могут вызвать запись за пределами конца выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Было ZDI-CAN-16332.