Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Escalada de privilegios en el instalador de CODESYS

Fecha de publicación 11/03/2026
Identificador
INCIBE-2026-183
Recursos Afectados
  • CODESYS Installer: versiones anteriores a la 2.6.1.0.
Descripción

CERT@VDE en coordinación con David Ruscheweyh de SEW-EURODRIVE, ha publicado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante local con privilegios limitados llevar a cabo una escalada de privilegios.

Solución

CODESYS recomienda actualizar los productos afectados a la versión 2.6.1.0.

Detalle

CVE-2026-2364: vulnerabilidad de escalada de privilegios. Debido a una condición de carrera, un atacante local con privilegios limitados puede sustituir la configuración descargada y verificada antes de su ejecución. Dado que el proceso de actualización se ejecuta con privilegios de administrador, se puede ejecutar una aplicación maliciosa con permisos elevados.

El ataque requiere que el usuario legítimo confirme la solicitud de auto-actualización del propio instalador CODESYS o que inicie la instalación de un sistema de desarrollo CODESYS. El proceso de actualización de los complementos CODESYS no se ve afectado por este problema.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-2364 Alta No CODESYS
Listado de referencias
VDE-2026-012: CODESYS Installer - Possible Privilege Escalation
Etiquetas