首页 网络安全 正文
  • 本文约5322字,阅读需27分钟
  • 92
  • 0

Trimble SketchUp的CVE-2024-9712等远程代码执行漏洞

摘要

栋科技漏洞库关注到Trimble SketchUp中存在多个安全漏洞,分别追踪为CVE-2024-9712至CVE-2024-9731,这些漏洞现在已在被修复。

Trimble SketchUp(建筑草图大师) 是一套直接面向设计方案创作过程的设计工具,是一个极受欢迎三维建筑设计方案创作的优秀工具。

Trimble SketchUp的创作过程不仅能充分表达设计师的思想且完全满足与客户即时交流需要,使得设计师直接在电脑上进行十分直观构思。

一、基本情况

SketchUp 是一个极受欢迎并且易于使用的3D设计软件,官网将其比作电子设计中的“铅笔”,主要卖点是使用简便,人人都可以快速上手。

Google于2006年03月14日宣布收购3D绘图软体SketchUp及其开发公司Last Software,后者成立于2000年,规模虽小但以SketchUp闻名。

Trimble SketchUp的CVE-2024-9712等远程代码执行漏洞

栋科技漏洞库关注到Trimble SketchUp中存在多个安全漏洞,分别追踪为CVE-2024-9712至CVE-2024-9731,这些漏洞现在已在被修复。

追踪:CVE-2024-9712、CVE-2024-9713、CVE-2024-9714、CVE-2024-9715、CVE-2024-9716、CVE-2024-9717、CVE-2024-9718;

追踪:CVE-2024-9719、CVE-2024-9720、CVE-2024-9721、CVE-2024-9722、CVE-2024-9723、CVE-2024-9724、CVE-2024-9725;

追踪:CVE-2024-9726、CVE-2024-9727、CVE-2024-9728、CVE-2024-9729、CVE-2024-9730、CVE-2024-9731,总计有20个漏洞。

二、漏洞分析

CVE-2024-9712

CVE-2024-9712是Trimble SketchUp SKP 文件解析释放后使用远程代码执行漏洞,具体存在于SKP文件的解析过程中,CVSS评分为7.8。

该漏洞源于在对象上执行操作之前未验证对象的存在性,该漏洞允许远程攻击者在安装了受影响的Trimble SketchUp系统上执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9713

CVE-2024-9713是Trimble SketchUp Pro SKP 文件解析释放后使用远程代码执行漏洞,具体存在于SKP文件解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作前缺乏对对象存在的验证,漏洞允许远程攻击者在安装了受影响Trimble SketchUp Pro系统上执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9714

CVE-2024-9714是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件解析过程中,CVSS评分为7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9715

CVE-2024-9715是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件解析过程中,CVSS评分为7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9716

CVE-2024-9716是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件解析过程中,CVSS评分为7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9717

CVE-2024-9717是Trimble SketchUp Viewer SKP 文件解析未初始化变量远程代码执行漏洞,存在于SKP文件解析过程中,CVSS评分7.8。

该漏洞源于在访问内存之前没有进行适当的初始化,允许远程攻击者在安装了受影响的Trimble SketchUp Viewer的系统上执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9718

CVE-2024-9718是Trimble SketchUp Viewer SKP 文件解析越界读取远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分为7.8。

该漏洞源于对用户提供的输入数据缺乏适当的验证,可能导致读取超出已分配缓冲区的末尾,攻击者利用可在当前进程上下文中执行代码。

该漏洞允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码,利用需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9719

CVE-2024-9719是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,在于SKP文件的解析过程中,CVSS评分为7.8。

该漏洞源于在执行对象操作之前没有验证对象是否存在,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统上执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9720

CVE-2024-9720是Trimble SketchUp Viewer SKP 文件解析越界读取远程代码执行漏洞,在于SKP文件的解析过程中,漏洞CVSS评分7.8。

该漏洞源于对用户提供的输入数据缺乏适当的验证,可能导致读取超过已分配缓冲区的末尾,攻击者利用可在当前进程上下文中执行代码。

该漏洞允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码,利用需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9721

CVE-2024-9721是rimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9722

CVE-2024-9722是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9723

CVE-2024-9723是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9724

CVE-2024-9724是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前没有验证对象是否存在,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9725

CVE-2024-9725是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞可能导致攻击者利用在当前进程的上下文中执行代码,漏洞利用需要具备前提条件,需要用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9726

CVE-2024-9726是Trimble SketchUp Viewer SKP 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞,该漏洞的CVSS评分同样也是7.8。

该漏洞源于在向固定长度的栈缓冲区复制用户提供输入数据时未对数据长度适当验证,漏洞利用需要用户与恶意页面交互或打开恶意文件。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

CVE-2024-9727

CVE-2024-9727是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

CVE-2024-9728

CVE-2024-9728是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

CVE-2024-9729

CVE-2024-9729是Trimble SketchUp Viewer SKP 文件解析释放后使用远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分7.8。

该漏洞源于在对象上执行操作之前缺乏对对象存在的验证,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

CVE-2024-9730

CVE-2024-9730是Trimble SketchUp Viewer SKP 文件解析内存损坏远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分为7.8。

该漏洞源于对用户提供数据验证不足,可能导致内存损坏,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

CVE-2024-9731

CVE-2024-9731是Trimble SketchUp Viewer SKP 文件解析内存损坏远程代码执行漏洞,存在于SKP文件的解析过程中,CVSS评分为7.8。

该漏洞源于对用户提供数据验证不足,可能导致内存损坏,允许远程攻击者在安装了受影响Trimble SketchUp Viewer系统执行任意代码。

该漏洞允许远程攻击者在安装了受影响版本Trimble SketchUp Viewer设备上执行任意代码,可导致攻击者在当前进程上下文中执行代码。

三、影响范围

未知

四、修复建议

鉴于漏洞的性质,唯一突出的缓解策略是限制与应用程序的交互

五、参考链接

https://www.sketchup.com/zh-cn/products/sketchup-viewer

标签:网络安全栋科技漏洞库
评论
更换验证码
友情链接