Tilkynnt var um nokkra alvarlega veikleika í InfoWorks WS Pro og InfoWorks ICM hjá Autodesk InfoWorks WS Pro er hugbúnaður fyrir hönnun og rekstur vatnsdreifikerfa, en InfoWorks ICM er hugbúnaður ætlaður til líkanagerðar og greiningar á fráveitukerfum og yfirborðsvatni. CERT-IS mælir með að útfæra þær mótvægisaðgerðir samkvæmt upplýsingum frá fyrirtæki eins fljótt og auðið er.
Alvarlegir veikleikar (e. critical)
CVE-2017-12627
Veikleikinn CVE-2017-12627 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í Apache Xerces-C XML Parser.
CVE-2019-19317
Veikleikinn CVE-2019-19317 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í SQLite sem getur valdið álagsárás (e. Denial of service).
CVE-2020-27304
Veikleikinn CVE-2020-27304 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í CivetWeb sem getur valdið flökkun á milli skráarsafna (e. Directory traversal).
CVE-2022-37434
Veikleikinn CVE-2022-37434 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að misnota veikleika í zlib sem getur valdið yfirskrifun á hrúgubiðminni eða yfirflæði á biðminni með sérbúnum auka reit í gzip header.
CVE-2018-8780
Veikleikinn CVE-2018-8780 með CVSSv3 skor uppá 9.1 gerir ógnaraðila kleift að misnota veikleika í Ruby sem getur valdið flökkun á milli skráarsafna (e. Directory traversal).
Eftirfarandi kerfi eru veik fyrir göllunum:
Autodesk InfoWorks WS Pro: 2024, 2023
Autodesk InfoWorks ICM: 2024, 2023
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Autodesk InfoWorks WS Pro: 2024.5, 2023.2.4
Autodesk InfoWorks ICM: 2024.5, 2023.2.5
Tilvísanir:
• [1] https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0024
