Comprobación inadecuada de condiciones en productos de CODESYS
Versiones anteriores a 3.5.20.30:
- CODESYS Control RTE (SL);
- CODESYS Control RTE (for Beckhoff CX) SL;
- CODESYS Control Win (SL);
- CODESYS HMI (SL);
- CODESYS Runtime Toolkit;
- CODESYS Embedded Target Visu Toolkit;
- CODESYS Remote Target Visu Toolkit.
Versiones anteriores a 4.14.0.0:
- CODESYS Control for BeagleBone SL;
- CODESYS Control for emPC-A/iMX6 SL;
- CODESYS Control for IOT2000 SL;
- CODESYS Control for Linux ARM SL;
- CODESYS Control for Linux SL;
- CODESYS Control for PFC100 SL;
- CODESYS Control for PFC200 SL;
- CODESYS Control for PLCnext SL;
- CODESYS Control for Raspberry Pi SL;
- CODESYS Control for WAGO Touch Panels 600 SL;
- CODESYS Virtual Control SL.
CODESYS ha publicado un aviso de seguridad debido a una vulnerabilidad de severidad alta que afecta a varios de sus productos. De ser explotada, esta vulnerabilidad podría provocar la caída del servicio.
Esta vulnerabilidad fue reportada por ABB y coordinada por CERT@VDE.
Actualizar los siguientes productos a la versión 3.5.20.30:
- CODESYS Control RTE (SL);
- CODESYS Control RTE (for Beckhoff CX) SL;
- CODESYS Control Win (SL);
- CODESYS HMI (SL);
- CODESYS Runtime Toolkit;
- CODESYS Embedded Target Visu Toolkit;
- CODESYS Remote Target Visu Toolkit.
La actualización 4.14.0.0 está previsto que se publique en noviembre de 2024 y corregirá la vulnerabilidad en los siguientes productos:
- CODESYS Control for BeagleBone SL;
- CODESYS Control for emPC-A/iMX6 SL;
- CODESYS Control for IOT2000 SL;
- CODESYS Control for Linux ARM SL;
- CODESYS Control for Linux SL;
- CODESYS Control for PFC100 SL;
- CODESYS Control for PFC200 SL;
- CODESYS Control for PLCnext SL;
- CODESYS Control for Raspberry Pi SL;
- CODESYS Control for WAGO Touch Panels 600 SL;
- CODESYS Virtual Control SL.
El componente del servidor de CODESYS Control Runtime System se emplea para mostrar pantallas de visualización de datos en un navegador web. Mediante paquetes TLS personalizados para la conexión HTTPS se puede provocar que el servidor se bloquee, debido a que no comprueba correctamente el valor de retorno de una función subyacente.
Se ha asignado el identificador CVE-2024-8175 para esta vulnerabilidad.