Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de CODESYS

Fecha de publicación 22/05/2026
Identificador
INCIBE-2026-369
Importancia
4 - Alta
Recursos Afectados

Para CVE-2026-44468 y CVE-2026-44469:

  • CODESYS Development System: versiones anteriores a la 3.5.22.20.

Para CVE-2026-8047:

  • CODESYS Control RTE (SL);
  • CODESYS Control RTE (for Beckhoff CX) SL;
  • CODESYS Control Win (SL);
  • CODESYS HMI (SL);
  • CODESYS Runtime Toolkit;

en versiones desde la 3.5.21.0 y anteriores a la 3.5.22.20.

  • CODESYS Control for BeagleBone SL;
  • CODESYS Control for emPC-A/iMX6 SL;
  • CODESYS Control for IOT2000 SL;
  • CODESYS Control for Linux ARM SL;
  • CODESYS Control for Linux SL;
  • CODESYS Control for PFC100 SL;
  • CODESYS Control for PFC200 SL;
  • CODESYS Control for PLCnext SL;
  • CODESYS Control for Raspberry Pi SL;
  • CODESYS Control for WAGO Touch Panels 600 SL;
  • CODESYS Virtual Control SL;

en versiones desde la 4.15.0.0 y anteriores a la 4.21.0.0. 

Descripción

CODESYS ha publicado 3 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante ejecutar código arbitrario con privilegios elevados o provocar una denegación de servicio en los dispositivos afectados.

Solución

Para CVE-2026-44468 y CVE-2026-44469:

  • actualizar CODESYS Development System a la versión 3.55.22.20 o superior.

Para CVE-2026-8047:

  • actualizar los productos afectados de la rama 3.x a la versión 3.5.22.20 o superior;
  • actualizar los productos afectados de la rama 4.x a la versión 4.21.0.0 o superior, una vez disponible.
Detalle

CVE 2026-44468 y CVE-2026-44469: vulnerabilidades causadas por permisos inseguros en directorios temporales y condiciones de carrera TOCTOU que podrían permitir a un atacante local con bajos privilegios ejecutar código arbitrario con privilegios elevados durante la instalación de paquetes o complementos.

CVE-2026-8047: vulnerabilidad de escritura fuera de límites en el componente CmpWebServer podría permitir a un atacante remoto no autenticado provocar una denegación de servicio mediante peticiones HTTP especialmente diseñadas cuando la funcionalidad Web Visualization esté habilitada.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8047 Alta No CODESYS
CVE-2026-44468 Alta No CODESYS
CVE-2026-44469 Alta No CODESYS
Listado de referencias
CODESYS Security Advisory 2026-10
CODESYS Security Advisory 2026-09
Etiquetas