Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI y una actualización

Múltiples vulnerabilidades en productos CODESYS

Fecha05/06/2024
Importancia4 - Alta
Recursos Afectados
  • CODESYS Control, versiones anteriores 4.12.0.0 para los equipos:
    • BeagleBone SL;
    • emPC-A/iMX6 SL;
    • IOT2000 SL;
    • Linux ARM SL;
    • Linux SL;
    • PFC100 SL;
    • PFC200 SL;
    • PLCnext SL;
    • Raspberry Pi SL;
    • WAGO Touch Panels 600 SL.
  • Versiones anteriores 3.5.20.10 de los productos:
    • CODESYS Control RTE (para Beckhoff CX) SL;
    • CODESYS Control RTE (SL);
    • CODESYS Control Win (SL);
    • CODESYS HMI (SL);
    • CODESYS Runtime Toolkit;
    • CODESYS Development System V3;
    • CODESYS Edge Gateway for Windows;
    • CODESYS Gateway for Windows.
Descripción

CERT@VDE en coordinación con CODESYS ha publicado 2 vulnerabilidades de severidad alta para varios de sus productos. Estas vulnerabilidades permitirían a un atacante remoto provocar una denegación de servicio y el acceso no autorizado a la información.

Solución
  • Actualizar CODESYS Control a la versión 4.12.0.0 para los siguientes sistemas:
    • BeagleBone SL;
    • emPC-A/iMX6 SL;
    • IOT2000 SL;
    • Linux ARM SL;
    • Linux SL;
    • PFC100 SL;
    • PFC200 SL;
    • PLCnext SL;
    • Raspberry Pi SL;
    • WAGO Touch Panels 600 SL.
  • Actualizar los siguientes productos a la versión 3.5.20.10:
    • CODESYS Control RTE (para Beckhoff CX) SL;
    • CODESYS Control RTE (SL);
    • CODESYS Control Win (SL);
    • CODESYS HMI (SL);
    • CODESYS Runtime Toolkit;
    • CODESYS Development System V3;
    • CODESYS Edge Gateway for Windows;
    • CODESYS Gateway for Windows.
Detalle
  • CVE-2024-5000: la pila CODESYS OPC UA del sistema en tiempo de ejecución CODESYS Control puede calcular incorrectamente el tamaño de búfer necesario para las solicitudes y respuestas recibidas. Esto puede ser aprovechado por un atacante remoto para enviar una solicitud falsa a los productos afectados, lo que puede provocar una denegación de servicio.
  • CVE-2023-5751: los archivos necesarios para la ejecución del sistema de desarrollo CODESYS se ejecutan en su directorio de trabajo '%ProgramData%\CODESYS\', por lo que todos los usuarios que tengan acceso al sistema pueden leer o modificar los archivos en este directorio.

[Actualización 05/06/2024] Multiples vulnerabilidades en Monitouch V-SFT de Fuji Electric

Fecha31/05/2024
Importancia4 - Alta
Recursos Afectados
  • Monitouch V-SFT: versiones anteriores a 6.2.3.0.
Descripción

CISA ha publicado un boletín de seguridad en donde informa de 2 nuevas vulnerabilidades altas para el software de configuración de pantallas Monitouch V-SFT de Monitouch V-SFT. Estas vulnerabilidades han sido descubiertas por kimiy colaborando con Monitouch V-SFT.

Solución
Detalle

Las vulnerabilidades, identificadas con los códigos CVE-2024-5271 y CVE-2024-34171, se originan debido a una escritura fuera de limite y a un desbordamiento de búfer, respectivamente, y ambas podrían permitir a un atacante ejecutar código arbitrario.