Vulnerabilidad de inicio de sesión en productos Codesys
INCIBE-2022-0781
- CODESYS Visualization, versiones anteriores a la 4.2.0.0;
- CODESYS Development System, versiones anteriores a la 3.5.17.0.
Un cliente OEM (Original Equipment Manufacturer) ha reportado al fabricante una vulnerabilidad de severidad alta que podría permitir la divulgación de información en productos Codesys.
El fabricante ha publicado la versión 4.2.0.0 de Codesys Visualization para solucionar esta vulnerabilidad, lo que requiere una versión 3.5.17.0 o superior de Codesys Development System.
Para que la corrección sea efectiva para los proyectos Codesys existentes, se debe recompilar adicionalmente la aplicación Codesys que contiene el diálogo y realizar una descarga en el HMI o el PLC.
Para autenticarse en la gestión de usuarios, Codesys Visualization proporciona un diálogo de inicio de sesión. El diálogo de inicio de sesión se descarga en el HMI o el PLC como parte de las visualizaciones creadas y se muestra en Codesys HMI, Codesys TargetVisu o Codesys WebVisu. Este diálogo devuelve una respuesta diferente para un usuario y contraseña no válidos, de modo que un atacante podría determinar si un usuario existe o no. Se ha asignado el identificador CVE-2022-1989 para esta vulnerabilidad.
