Inicio / Content / Boletín de INCIBE-CERT del 06-06-2022

Boletín de INCIBE-CERT del 06-06-2022

Vulnerabilidad de inicio de sesión en productos Codesys

Fecha de publicación: 
06/06/2022
Identificador: 
INCIBE-2022-0781
Importancia: 
4 - Alta
Recursos afectados: 
  • CODESYS Visualization, versiones anteriores a la 4.2.0.0;
  • CODESYS Development System, versiones anteriores a la 3.5.17.0.
Descripción: 

Un cliente OEM (Original Equipment Manufacturer) ha reportado al fabricante una vulnerabilidad de severidad alta que podría permitir la divulgación de información en productos Codesys.

Solución: 

El fabricante ha publicado la versión 4.2.0.0 de Codesys Visualization para solucionar esta vulnerabilidad, lo que requiere una versión 3.5.17.0 o superior de Codesys Development System.

Para que la corrección sea efectiva para los proyectos Codesys existentes, se debe recompilar adicionalmente la aplicación Codesys que contiene el diálogo y realizar una descarga en el HMI o el PLC.

Detalle: 

Para autenticarse en la gestión de usuarios, Codesys Visualization proporciona un diálogo de inicio de sesión. El diálogo de inicio de sesión se descarga en el HMI o el PLC como parte de las visualizaciones creadas y se muestra en Codesys HMI, Codesys TargetVisu o Codesys WebVisu. Este diálogo devuelve una respuesta diferente para un usuario y contraseña no válidos, de modo que un atacante podría determinar si un usuario existe o no. Se ha asignado el identificador CVE-2022-1989 para esta vulnerabilidad.

Encuesta valoración