Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Verificación inadecuada de condiciones en EtherNetIP de CODESYS

Fecha de publicación 24/04/2026
Identificador
INCIBE-2026-308
Importancia
4 - Alta
Recursos Afectados

CODESYS EtherNetIP en todas las versiones anteriores a 4.9.0.0.

La vulnerabilidad afecta a todos los proyectos de CODESYS que incluyen una configuración de adaptador EtherNet/IP.

Descripción

CERT@VDE en colaboración con CODESYS han publicado 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante remoto, no, autenticado agotar las conexiones TCP disponibles en la pila de adaptadores EtherNet/IP, para impedir que los clientes legítimos establezcan nuevas conexiones.

Solución

Se recomienda actualizar el producto a la versión 4.9.0.0.

Detalle

CVE-2026-35225: vulnerabilidad de verificación inadecuada de condiciones que afecta al adaptador EtherNet/IP, ya que este no realiza las comprobaciones de tiempo de espera en las conexiones TCP activas. Esto da como resultado que las conexiones caducadas no se liberan, impidiendo así que se puedan establecer nuevas conexiones TCP. Un atacante podría explotar esta vulnerabilidad para impedir que clientes legítimos establezcan nuevas conexiones.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-35225 Alta No CODESYS
Listado de referencias
CODESYS EtherNetIP - Improper timeout handling
CODESYS EtherNetIP - Improper timeout handling CODESYS Security Advisory 2026-04
Etiquetas