CVE-2025-5037 : RCE via fichiers RFA dans Autodesk Revit 2025 et vecteur supply chain potentiel
Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus. La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code. ...