Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el servidor web CODESYS

Fecha de publicación 02/02/2018
Importancia
5 - Crítica
Recursos Afectados

Todos los servidores autónomos Microsoft Windows (incluidos WinCE) web basados en CODESYS que dispongan de la Versión 2.3 o con parte del sistema de ejecución CODESYS con una versión anterior a la V1.1.9.19.

Descripción

El investigador Zhu WenZhe del laboratorio de seguridad IOT Istury ha reportado esta vulnerabilidad severidad crítica que podría provocar la ejecución de código arbitrario o una denegación de servicio en el servidor web.

Solución

La vulnerabilidad ha sido solucionada con el parche V.1.1.9.19  para CODESYS V2.3 en servidores Windows. Este formará parte de la configuración de CODESYS V2.3.9.56. El parche de seguridad está disponible desde el 30 de enero de 2018.

Detalle

Una respuesta modificada podría causar un desbordamiento de búfer y podría permitir la ejecución de código arbitrario en el servidor web, también podría permitir una condición de denegación de servicio que interrumpe el funcionamiento del servidor web.

Esta vulnerabilidad ha sido categorizada con el identificador CVE-2018-5440

Encuesta valoración

 

Listado de referencias