Описание
Уязвимость программных продуктов CODESYS связана с отсутствием проверки корректности принимаемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
CODESYS GmbH
Наименование ПО
CODESYS Control RTE (SL)
CODESYS Control RTE (for Beckhoff CX) SL
CODESYS Control Win (SL)
CODESYS Control for BeagleBone SL
CODESYS Control for IOT2000 SL
CODESYS Control for Linux ARM SL
CODESYS Control for Linux SL
CODESYS Control for PFC100 SL
CODESYS Control for PFC200 SL
CODESYS Control for PLCnext SL
CODESYS Control for Raspberry Pi SL
CODESYS Control for WAGO Touch Panels 600 SL
CODESYS Control for emPC-A/iMX6 SL
CODESYS HMI (SL)
CODESYS Runtime Toolkit
CODESYS Virtual Control SL
Версия ПО
до 3.5.22.0 (CODESYS Control RTE (SL))
до 3.5.22.0 (CODESYS Control RTE (for Beckhoff CX) SL)
до 3.5.22.0 (CODESYS Control Win (SL))
до 4.21.0.0 (CODESYS Control for BeagleBone SL)
до 4.21.0.0 (CODESYS Control for IOT2000 SL)
до 4.21.0.0 (CODESYS Control for Linux ARM SL)
до 4.21.0.0 (CODESYS Control for Linux SL)
до 4.21.0.0 (CODESYS Control for PFC100 SL)
до 4.21.0.0 (CODESYS Control for PFC200 SL)
до 4.21.0.0 (CODESYS Control for PLCnext SL)
до 4.21.0.0 (CODESYS Control for Raspberry Pi SL)
до 4.21.0.0 (CODESYS Control for WAGO Touch Panels 600 SL)
до 4.21.0.0 (CODESYS Control for emPC-A/iMX6 SL)
до 3.5.22.0 (CODESYS HMI (SL))
до 3.5.22.0 (CODESYS Runtime Toolkit)
до 4.21.0.0 (CODESYS Virtual Control SL)
Тип ПО
Программное средство АСУ ТП
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному обеспечению;
- настройка механизма проверки подлинности программного обеспечения путем установления значения «YES» для переменной SECURITY.EnforceSignedCode;
- ограничение доступа к программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://certvde.com/de/advisories/VDE-2026-011
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 43%
0.00208
Низкий
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
8 дней назад
A low-privileged remote attacker may be able to replace the boot application of the CODESYS Control runtime system, enabling unauthorized code execution.
CVSS3: 8.8
github
7 дней назад
A low-privileged remote attacker may be able to replace the boot application of the CODESYS Control runtime system, enabling unauthorized code execution.
EPSS
Процентиль: 43%
0.00208
Низкий
8.8 High
CVSS3
9 Critical
CVSS2