Omisión de la autenticación del servidor OPC UA de CODESYS Control V3
CODESYS Runtime Toolkit, versiones anteriores a 3.5.21.0.
CERT@VDE en coordinación con CODESYS, ha publicado una vulnerabilidad de severidad alta que de ser explotada podría provocar la pérdida de confidencialidad o la omisión de la autenticación.
Actualizar el producto a la versión 3.5.21.0.
A nivel de configuración, los fabricantes del dispositivo deben eliminar el compilador #define "CMPOPCUASTACK_ALLOW_SHA1_BASED_SECURITY" de la configuración de compilación del producto afectado para restaurar el valor predeterminado, que deshabilita la política de seguridad OPC UA afectada Basic128Rsa15.
La política de seguridad OPC UA Basic128Rsa15 es vulnerable a ataques a la clave privada. Esto podría provocar la pérdida de confidencialidad o la omisión de la autenticación. El servidor OPC UA de CODESYS no se ve afectado en la configuración predeterminada. Sin embargo, la política afectada puede estar habilitada mediante una configuración del cliente. Se ha asignado el identificador CVE-2025-1468 para esta vulnerabilidad.
