Firma CODESYS informuje o nowych podatnościach w swoich produktach. (P23-184)
cert.pse-online.pl 1 rok temu
Produkt
CODESYS Development System wersja 3.5.9.0 I wczesneijsze niż 3.5.17.0 CODESYS Scripting wersje od 4.0.0.0 I przed 4.1.0.0
Numer CVE
CVE-2023-3670
Krytyczność
7.3/10
CVSS
AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis
CODESYS Development System to narzędzie programistyczne IEC 61131-3 dla sektora sterowników przemysłowych i technologii automatyki. Jako dodatek do CODESYS Development System, CODESYS Scripting pozwala zautomatyzować polecenia lub złożone sekwencje programów w CODESYS, które w innym przypadku wymagają ręcznych kliknięć myszką i wprowadzania tekstu w interfejsie użytkownika CODESYS. W tym celu skrypty oparte na (Iron)Pythonie można uruchomić z interfejsu użytkownika CODESYS lub z wiersza poleceń systemu Windows. Skrypty mogą być uruchamiane albo z katalogu instalacyjnego, który jest domyślnie zabezpieczony uprawnieniami administratora, albo z podfolderów “%PROGRAMDATA%\CODESYS\”. Ten ostatni jest zapisywalny dla wszystkich użytkowników o niskich uprawnieniach, dzięki czemu inny użytkownik może przechowywać tutaj potencjalnie szkodliwe skrypty. CODESYS Scripting oferuje wszystkie dostępne skrypty do wykonania, więc legalny użytkownik może następnie wykonać złośliwe skrypty.