Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Múltiples vulnerabilidades en productos CODESYS

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 26/07/2021

Importancia:
Alta

Recursos afectados:

  • CODESYS EtherNetIP, versiones desde V3.5.16.0 hasta V4.1.0.0;
  • CODESYS Development System V3, todas las versiones anteriores a V3.5.17.10;
  • CODESYS Edge Gateway para Linux, todas las versiones anteriores a V4.2.0.0;
  • CODESYS Control V3 Runtime System Toolkit, todas las versiones anteriores a V3.5.17.10;
  • CODESYS Control V3 Runtime System Toolkit, todas las versiones anteriores a V4.2.0.0, en los productos:
    • CODESYS Control for BeagleBone SL,
    • CODESYS Control for emPC-A/iMX6 SL,
    • CODESYS Control for IOT2000 SL,
    • CODESYS Control for Linux SL,
    • CODESYS Control for PLCnext SL,
    • CODESYS Control for PFC100 SL,
    • CODESYS Control for PFC200 SL,
    • CODESYS Control for Raspberry Pi SL y
    • CODESYS Control for WAGO Touch Panels 600 SL.
  • CODESYS Development System, todas las versiones anteriores a V3.5.17.10;
  • CODESYS Edge Gateway para Windows, todas las versiones anteriores a V3.5.17.10; y
  • CODESYS Gateway V3, todas las versiones anteriores a V3.5.17.10.

Descripción:

Codesys ha publicado 3 vulnerabilidades de severidad alta y 1 de severidad media, que podrían permitir a un atacante tener acceso de lectura a archivos privados que pueden contener identificaciones de usuarios o hash de contraseñas, establecer una condición de denegación de servicio o manipular archivos.

Solución:

Para el producto CODESYS EtherNetIP, actualizar a la versión V4.1.0.0.

Para el resto de productos, actualizar el software, según corresponda, a la versión V3.5.17.10 u otra superior, o a la versión V4.2.0.0, que estará disponible en agosto.

Detalle:

  • Una vulnerabilidad de deserialización de datos no confiables en CODESYS Development System podría permitir a un atacante modificar archivos locales de configuración o instalación de CODESYS, al no verificar suficientemente los datos. Se han asignado los identificadores CVE-2021-21863, CVE-2021-21864, CVE-2021-21865, CVE-2021-21866, CVE-2021-21867, CVE-2021-21868, CVE-2021-21869 para esta vulnerabilidad.
  • Una vulnerabilidad de referencia a puntero nulo podría permitir a un atacante causar una condición de denegación de servicio mediante el envío de solicitudes de comunicación manipuladas. Se ha asignado el identificador CVE-2021-36764 para esta vulnerabilidad.
  • Las solicitudes específicas del servidor web pueden tener acceso de lectura a archivos privados, que pueden contener identificaciones de usuario y contraseñas y contraseñas. Se ha asignado el identificador CVE-2021-36763 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-36765.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Vulnerabilidad de inyección de comandos en productos de Cisco
Vulnerabilidad de inyección de comandos en Peplink Smart Reader
Múltiples vulnerabilidades en Avalanche de Ivanti
Ejecución remota de código en PCOMM de IBM