Escritura fuera de los límites en Development System de CODESYS
CODESYS Development System, versiones anteriores a 2.3.9.73.
CERT@VDE, en coordinación con CODESYS, ha publicado 2 vulnerabilidades reportadas por Michael Heinzl, una de severidad alta y otra de severidad media que podrían provocar que las instalaciones afectadas bloqueen o ejecuten código al abrir archivos de proyecto maliciosos.
Actualizar a la versión 2.3.9.73.
La vulnerabilidad de severidad alta detectada afecta a la herramienta de programación IEC 61131-3. Un atacante local no autenticado podría engañar a un usuario para que abra archivos de proyecto corruptos para ejecutar código arbitrario o bloquear el sistema debido a una vulnerabilidad de escritura fuera de límites. Se han asignado los identificadores CVE-2023-49675 para estas vulnerabilidades.
Para la vulnerabilidad de severidad media se ha asignado el identificador CWE-2023-49676.
