JVNDB-2021-001023

複数の Luxion 製品に脆弱性

Luxion 社が提供する KeyShot は、3DCAD のデータを用いて写真イメージおよびアニメーションを作成するソフトウェアです。
Luxion 社が提供する複数の製品には、次の複数の脆弱性が存在します。

　* 境界外書き込み (CWE-787) - CVE-2021-22647
　* 境界外読み取り (CWE-125) - CVE-2021-22643
　* 危険な操作におけるUI上の不十分な警告 (CWE-357) - CVE-2021-22645
　* 信頼性のないポインタ参照 (CWE-822) - CVE-2021-22649
　* パス・トラバーサル (CWE-22) - CVE-2021-22651

Luxion Inc.

• KeyShot 10.1 より前のバージョン
• KeyShot Network Rendering 10.1 より前のバージョン
• KeyShot Viewer 10.1 より前のバージョン
• KeyVR 10.1 より前のバージョン

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* プロジェクトファイルを処理中に境域外書き込みが発生し、第三者によって任意のコードを実行される - CVE-2021-22647
　* プロジェクトファイルを処理中に境域外読み取りが発生し、第三者によって任意のコードを実行される - CVE-2021-22643
　* ネットワーク外の .dll ファイルを指定されている場合でも、.bip ファイルの load コマンド実行時に十分な警告が表示されないため、悪意のある .dll ファイルが実行される - CVE-2021-22645
　* プロジェクトファイルを処理中に NULL ポインタ参照が発生し、第三者によって任意のコードを実行される - CVE-2021-22649
　* 第三者によって作成された細工したファイルが読み込まれた場合、一時ファイル抽出処理時に任意のスクリプトを自動実行フォルダに格納される - CVE-2021-22651

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。

Luxion Inc.

• LUXION : Contact Us

1. 境界外読み取り(CWE-125) [IPA評価]
2. パス・トラバーサル(CWE-22) [IPA評価]
3. 境界外書き込み(CWE-787) [IPA評価]
4. 信頼できないポインタデリファレンス(CWE-822) [IPA評価]
5. 危険な操作に対する不十分な警告(CWE-357) [IPA評価]

1. CVE-2021-22643
2. CVE-2021-22645
3. CVE-2021-22647
4. CVE-2021-22649
5. CVE-2021-22651

1. JVN : JVNVU#93791310
2. JVN : JVNVU#93441670
3. National Vulnerability Database (NVD) : CVE-2021-22643
4. National Vulnerability Database (NVD) : CVE-2021-22645
5. National Vulnerability Database (NVD) : CVE-2021-22647
6. National Vulnerability Database (NVD) : CVE-2021-22649
7. National Vulnerability Database (NVD) : CVE-2021-22651
8. ICS-CERT ADVISORY : ICSA-21-035-01
9. 関連文書 : SSA-231216: Luxion KeyShot Vulnerabilities in Solid Edge

• [2021年02月12日]
    掲載
• [2021年03月11日]
    参考情報：関連文書 (SSA-231216: Luxion KeyShot Vulnerabilities in Solid Edge) を追加
    参考情報：JVN (JVNVU#93441670) を追加