01
漏洞描述
Bentley 软件公司(纳斯达克股票代码:BSY)是一家基础设施工程软件公司。该公司提供创新软件来推进世界基础设施的发展,从而维持全球经济和环境。行业领先的软件解决方案被各种规模的专业人士和组织用于道路和桥梁、轨道和运输、水和废水、公共工程和公用事业、建筑和园区、采矿和工业设施的设计、施工和运营。其产品包括用于建模和仿真的基于 MicroStation 的应用程序、用于项目交付的 ProjectWise、用于资产和网络性能的 AssetWise、Seequent 领先的地球科学软件产品、以及用于基础设施数字孪生的 iTwin 平台。
近期,Bentley 软件公司发布漏洞公告,声称MicroStation 的应用程序存在文件解析漏洞(CVE-2022-28303)。
02
漏洞危害
攻击者可利用 MicroStation 的应用程序释放后的缺陷,通过诱骗受害者打开恶意制作的 SKP 文件,造成文件解析漏洞。从而导致在目标系统上提权,执行非法操作。获取企业敏感信息,继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
03
影响范围
MicroStation <= 10.16.02.*
Bentley View <= 10.16.02.*
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://www.bentley.com/en/common-vulnerability-exposure/be-2022-0009
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Bentley MicroStation 文件解析漏洞(CVE-2022-28303)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论