Publicado el por Seguridad CSIRT-CV

Múltiples vulnerabilidades detectadas en Autodesk AutoCAD

Autodesk ha lanzado parches de seguridad que corrigen múltiples vulnerabilidades de su producto, AutoCAD y de otros basados en este. La explotación de las vulnerabilidades detectadas puede provocar ejecución de código, pero para que sean explotadas, se requiere de la interacción del usuario.

Análisis

Todas las vulnerabilidades detectadas se encuentran clasificadas con una severidad alta y están relacionadas con la manipulación de archivos maliciosos de diferentes formatos. Cabe destacar que, para ser explotadas, requieren de la interacción del usuario, ya que es necesario abrir un archivo malicioso.

Estas vulnerabilidades incluyen problemas de variables no inicializadas, lectura fuera de límites, desbordamiento de búfer basado en montículo, corrupción de memoria y uso después de la liberación. Estos errores ocurren cuando un programa no gestiona correctamente la memoria.
Un atacante puede aprovechar estas vulnerabilidades para poder leer datos sensibles, realizar un bloqueo del programa o explotar código arbitrario.

Los detalles de las vulnerabilidades son los siguientes:

    • CVE-2025-1427 : Un archivo CATPRODUCT creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1649 : Un archivo CATPRODUCT creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1650 : Un archivo CATPRODUCT creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1428 : Un archivo CATPART creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1429 : Un archivo MODEL creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1651 : Un archivo MODEL creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1430 : Un archivo SLDPRT creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de corrupción de memoria. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1432 : Un archivo 3DM creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de uso después de la liberación. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1433 : Un archivo MODEL creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
    • CVE-2025-1433 : Un archivo MODEL creado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.

Recursos afectados

Productos Autodesk afectados versiones 2025:

    • AutoCAD
    • AutoCAD Architecture
    • AutoCAD Electrical
    • AutoCAD Mechanical
    • AutoCAD MEP
    • AutoCAD Plant 3D
    • Civil 3D
    • Advance Steel
    • AutoCAD Map 3D

Recomendaciones

Austodesk insta a los usuarios a actualizar el firmware a la versión 2025.1.2 que corrige estas vulnerabilidades. Además, se recomienda que los usuarios abran archivos solo recibidos desde remitentes de confianza.

Referencias