Gestión inadecuada de recursos en el servidor Modbus TCP de CODESYS
Versiones de CODESYS Modbus anteriores a la 4.6.0.0. Solo los proyectos de CODESYS que incluyen una configuración de servidor Modbus TCP.
CODESYS ha informado sobre una vulnerabilidad reportada por ABB Schweiz AG. Esta vulnerabilidad, de criticidad alta, podría permitir que un atacante remoto no autenticado agote todas las conexiones TCP disponibles en la pila del servidor CODESYS Modbus TCP si logra explotar con éxito una condición de carrera en el manejo de conexiones, impidiendo que los clientes legítimos establezcan nuevas conexiones.
El fabricante recomienda actualizar a la versión 4.6.0.0, que corrige la vulnerabilidad.
Para aplicar la corrección en proyectos existentes de CODESYS:
Actualizar el servidor Modbus TCP en el árbol de dispositivos a la última versión;
Descargar la aplicación CODESYS al PLC después de la actualización.
El sistema de desarrollo CODESYS y los complementos se pueden descargar e instalar desde el instalador CODESYS o desde la tienda de CODESYS.
CVE-2026-35227: la vulnerabilidad se debe a un problema de gestión de recursos en el servidor Modbus TCP. Solo es explotable si se desencadena una condición de carrera en la gestión de conexiones. Con el tiempo, esto puede agotar el número máximo de conexiones configuradas, evitando que se acepten nuevas conexiones TCP. Las conexiones existentes continúan operando con normalidad.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-35227 | Alta | No | CODESYS |
