[Actualización 06/09/2023] Múltiples vulnerabilidades en productos CODESYS
El listado completo de productos CODESYS V3 y CODESYS Control V3 Runtime System Toolkit afectados por las vulnerabilidades se pueden consultar en el apartado 'Affected Products' de cada aviso del fabricante.
CoDeSys también se utiliza en muchos productos vendidos por otros proveedores, así como en varios sectores de la industria de la automatización por los fabricantes de controladores industriales o dispositivos de automatización inteligentes y por los usuarios finales de diferentes industrias, incluidos algunos integradores de sistemas.
Varios investigadores han reportado 17 vulnerabilidades, todas de severidad alta, cuya explotación podría permitir la lectura y modificación de archivos de sistema o causar una condición de denegación de servicio (DoS).
CODESYS ha publicado la versión 3.5.19.0, junto con la versión 4.8.0.0 en abril de 2023, para corregir estas vulnerabilidades.
Los proveedores de sistemas de control deben revisar sus productos, identificar aquellos que incorporan el software afectado y tomar las medidas adecuadas para actualizar sus productos y notificar a los clientes, por lo tanto, se recomienda consultar también los avisos de seguridad del fabricante para obtener más información.
Las vulnerabilidades identificadas por CODESYS son de los siguientes tipos:
- exposición del recurso en un ámbito incorrecto,
- desbordamiento de búfer,
- escritura fuera de límites,
- sobreescritura de memoria,
- ejecución remota de código,
- desreferencia de direcciones proporcionada por la solicitud de acceso interno de lectura,
- validación incorrecta de datos de entrada.
Se han asignado los siguientes identificadores CVE: CVE-2022-4224, CVE-2022-47378, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022-47385, CVE-2022-47386, CVE-2022-47387, CVE-2022-47388, CVE-2022-47389, CVE-2022-47390, CVE-2022-47392, CVE-2022-47393 y CVE-2022-47391.
