Se ha reportado una vulnerabilidad en Autodesk VRED
Professional 2014. El problema, descubierto por Thomas Fischer de Daimler TSS
Technical Security, podría permitir a un atacante remoto ejecutar código
arbitrario.
Autodesk VRED es
un software especialmente dedicado para diseñadores de automóviles e ingenieros
para crear presentaciones de productos, revisiones de diseño y prototipos
virtuales de forma realista. Incorpora numerosas herramientas de ingeniería,
diseño y de análisis.
Detalle de la vulnerabilidad
- La vulnerabilidad, con identificador CVE-2014-2967, podría permitir a un atacante remoto valerse del servidor web que incorpora el propio software para ejecutar código de forma remota. Este servidor web permite el acceso a una API de Python la cual da acceso a un gran número de librerías, lo que facilitaría al atacante el poder ejecutar comandos con los privilegios del usuario que esté ejecutando el software.
- Esta vulnerabilidad se ha reportado en versiones anteriores a VRED 2014 SR1 SP8.
- Se recomienda actualizar a VRED 2014 SR1 SP8 o superior.
- Autodesk VRED contains an unauthenticated remote code execution vulnerability http://www.kb.cert.org/vuls/id/402020
- 3D visualization and virtual prototyping software http://www.autodesk.com/products/vred/