Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Exposición del recurso a la esfera de control incorrecta en productos de CODESYS

Fecha de publicación 31/07/2023
Identificador

INCIBE-2023-0309

Importancia
4 - Alta
Recursos Afectados
  • CODESYS Development System, versiones entre la 3.5.9.0 y la 3.5.17.0.
  • CODESYS Scripting, versiones entre la 4.0.0.0 y la 4.1.0.0.
Descripción

Sina Kheirkhah, de Summoning Team, en colaboración con Trend Micro Zero Day Initiative y coordinado por CERT@VDE, han publicado una vulnerabilidad de severidad alta que podría permitir a un atacante colocar secuencias de comandos potencialmente dañinas y encubiertas.

Solución
  • Actualice CODESYS Development System a la versión 3.5.17.0 o posterior.
  • Actualice CODESYS Scripting a la versión 4.1.0.0 o posterior.
Detalle

La vulnerabilidad de severidad alta detectada es debida a los permisos de directorios inseguros que podrían permitir a un atacante con acceso local a la estación de trabajo, colocar secuencias de comandos potencialmente dañinas y encubiertas que podrían ser ejecutadas por usuarios legítimos. 

Se ha asignado el identificador CVE-2023-3670 para esta vulnerabilidad.

Listado de referencias
CODESYS: Vulnerability in CODESYS Development System and CODESYS Scripting
Etiquetas