BE-2023-0001: Seequent LeapFrog WebPのヒープベースのバッファオーバーフローの脆弱性

Bentley ID: BE-2023-0001
CVE ID: CVE-2023-4863
重大度: 8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 27-{13}-{14}
改訂日:{15}-{16}-{17}

概要
LeapFrog アプリケーションは、悪意を持って細工された WebP ファイルを開く際に、ヒープベースのバッファオーバーフローの脆弱性の影響を受ける可能性があります。これらの脆弱性が悪用され、情報が開示されたり、任意のコードが実行されたりすることがあります。

細部
影響を受けるバージョンの LeapFrog アプリケーションを使用して、悪意を持って作成されたデータを含む WebP ファイルを開くと、libwebp Libraryでヒープベースのバッファオーバーフローが強制される可能性があります。WebP ファイルの解析でこの脆弱性が悪用されると、攻撃者は領域外メモリ書き込みを実行し、現在のプロセスのコンテキストでコードを実行する可能性があります。

影響を受けるバージョン

推奨される軽減策
The Bentley Subsurface CompanyのSeequentは、LeapFrogアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できるソースから入手したSKPファイルのみを開くことが推奨されています。

謝辞

改訂履歴