Exposición del recurso a la esfera de control incorrecta en productos de CODESYS

Fecha de publicación 31/07/2023
Importancia
4 - Alta
Recursos Afectados
  • CODESYS Development System, versiones entre la 3.5.9.0 y la 3.5.17.0.
  • CODESYS Scripting, versiones entre la 4.0.0.0 y la 4.1.0.0.
Descripción

Sina Kheirkhah, de Summoning Team, en colaboración con Trend Micro Zero Day Initiative y coordinado por CERT@VDE, han publicado una vulnerabilidad de severidad alta que podría permitir a un atacante colocar secuencias de comandos potencialmente dañinas y encubiertas.

Solución
  • Actualice CODESYS Development System a la versión 3.5.17.0 o posterior.
  • Actualice CODESYS Scripting a la versión 4.1.0.0 o posterior.
Detalle

La vulnerabilidad de severidad alta detectada es debida a los permisos de directorios inseguros que podrían permitir a un atacante con acceso local a la estación de trabajo, colocar secuencias de comandos potencialmente dañinas y encubiertas que podrían ser ejecutadas por usuarios legítimos. 

Se ha asignado el identificador CVE-2023-3670 para esta vulnerabilidad.

Listado de referencias
CODESYS: Vulnerability in CODESYS Development System and CODESYS Scripting
Etiquetas