Firma CODESYS informuje o nowych podatnościach w swoich produktach. (P23-184)

cert.pse-online.pl 1 rok temu
ProduktCODESYS Development System wersja 3.5.9.0 I wczesneijsze niż 3.5.17.0 CODESYS Scripting wersje od 4.0.0.0 I przed 4.1.0.0
Numer CVECVE-2023-3670
Krytyczność7.3/10
CVSSAV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
OpisCODESYS Development System to narzędzie programistyczne IEC 61131-3 dla sektora sterowników przemysłowych i technologii automatyki. Jako dodatek do CODESYS Development System, CODESYS Scripting pozwala zautomatyzować polecenia lub złożone sekwencje programów w CODESYS, które w innym przypadku wymagają ręcznych kliknięć myszką i wprowadzania tekstu w interfejsie użytkownika CODESYS. W tym celu skrypty oparte na (Iron)Pythonie można uruchomić z interfejsu użytkownika CODESYS lub z wiersza poleceń systemu Windows. Skrypty mogą być uruchamiane albo z katalogu instalacyjnego, który jest domyślnie zabezpieczony uprawnieniami administratora, albo z podfolderów “%PROGRAMDATA%\CODESYS\”. Ten ostatni jest zapisywalny dla wszystkich użytkowników o niskich uprawnieniach, dzięki czemu inny użytkownik może przechowywać tutaj potencjalnie szkodliwe skrypty. CODESYS Scripting oferuje wszystkie dostępne skrypty do wykonania, więc legalny użytkownik może następnie wykonać złośliwe skrypty.
AktualizacjaTAK
Linkhttps://customers.codesys.com/index.php?eID=dumpFile&t=f&f=17769&token=a1a34cd304aebfbc1e2619e401a9a6cb5d4dc117&download==
Idź do oryginalnego materiału