Inicio / Content / Boletín de INCIBE-CERT del 26-10-2021

Boletín de INCIBE-CERT del 26-10-2021

Múltiples vulnerabilidades en varios productos de CODESYS

Fecha de publicación: 
26/10/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • CODESYS V2 web server, todas las versiones anteriores a la 1.1.9.22;
  • CODESYS Runtime Toolkit 32 bit, todas las versiones anteriores a la 2.4.7.56;
  • CODESYS PLCWinNT, todas las versiones anteriores a la 2.4.7.56.
Descripción: 

Investigadores de Tenable Research, SEC Consult Vulnerability Lab y NSFOCUS han reportado a CODESYS GmbH siete vulnerabilidades de severidad alta que podrían permitir a un atacante establecer una condición de denegación de servicio.

Solución: 

Actualizar:

  • CODESYS V2 web server a la versión 1.1.9.22,
  • CODESYS Runtime Toolkit 32 bit a la versión 2.4.7.56, y
  • CODESYS PLCWinNT a la versión 2.4.7.56.
Detalle: 
  • Una vulnerabilidad de tipo desbordamiento de búfer basado en memoria dinámica (heap), una de lectura fuera de límites, una de falta de comprobación del valor de retorno o una de desreferencia a un puntero nulo, podrían permitir a un atacante establecer una condición de denegación de servicio mediante el envío de peticiones manipuladas al servidor web. Se han asignado los identificadores CVE-2021-34583, CVE-2021-34584, CVE-2021-34585 y CVE-2021-34586 para estas vulnerabilidades.
  • Un atacante, no autenticado y remoto, podría enviar peticiones manipuladas al sistema CODESYS Control runtime y causar un fallo en la asignación de memoria que resultaría en una condición de denegación de servicio. Se ha asignado el identificador CVE-2021-34593 para esta vulnerabilidad.
  • El envío de una petición manipulada podría permitir a un atacante la lectura o escritura fuera de límites en CODESYS Runtime o CODESYS PLCWinNT, causando una condición de denegación de servicio. Se han asignado los identificadores CVE-2021-34595 y CVE-2021-34596 para estas vulnerabilidades.

Encuesta valoración