Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos CODESYS

Múltiples vulnerabilidades en productos CODESYS

Fecha de publicación: 
09/03/2023
Identificador: 
INCIBE-2023-0088
Importancia: 
4 - Alta
Recursos afectados: 

El listado completo de productos CODESYS V3 y CODESYS Control V3 Runtime System Toolkit afectados por las vulnerabilidades se pueden consultar en el apartado 'Affected Products' de cada aviso del fabricante.

Descripción: 

Varios investigadores han reportado 17 vulnerabilidades, todas de severidad alta, cuya explotación podría permitir la lectura y modificación de archivos de sistema o causar una condición de denegación de servicio (DoS).

Solución: 

CODESYS ha publicado la versión 3.5.19.0, junto con la versión 4.8.0.0 en abril de 2023, para corregir estas vulnerabilidades.

Detalle: 

Las vulnerabilidades identificadas por CODESYS son de los siguientes tipos:

  • exposición del recurso en un ámbito incorrecto,
  • desbordamiento de búfer,
  • escritura fuera de límites,
  • sobreescritura de memoria,
  • ejecución remota de código,
  • desreferencia de direcciones proporcionada por la solicitud de acceso interno de lectura,
  • validación incorrecta de datos de entrada.

Se han asignado los siguientes identificadores CVE: CVE-2022-4224, CVE-2022-47378, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022-47385, CVE-2022-47386, CVE-2022-47387, CVE-2022-47388, CVE-2022-47389, CVE-2022-47390, CVE-2022-47392, CVE-2022-47393 y CVE-2022-47391.

Encuesta valoración

Referencias: 
Security update for CODESYS Control V3 file access
Security update for CODESYS Control V3
Security update for CODESYS runtime system V3 communication server
Etiquetas: 
Actualización
Infraestructuras críticas
Vulnerabilidad