Firma CODESYS informuje o nowych podatnościach w swoich produktach. (P23-184)

cert.pse-online.pl 9 miesięcy temu

Produkt	CODESYS Development System wersja 3.5.9.0 I wczesneijsze niż 3.5.17.0 CODESYS Scripting wersje od 4.0.0.0 I przed 4.1.0.0
Numer CVE	CVE-2023-3670
Krytyczność	7.3/10
CVSS	AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis	CODESYS Development System to narzędzie programistyczne IEC 61131-3 dla sektora sterowników przemysłowych i technologii automatyki. Jako dodatek do CODESYS Development System, CODESYS Scripting pozwala zautomatyzować polecenia lub złożone sekwencje programów w CODESYS, które w innym przypadku wymagają ręcznych kliknięć myszką i wprowadzania tekstu w interfejsie użytkownika CODESYS. W tym celu skrypty oparte na (Iron)Pythonie można uruchomić z interfejsu użytkownika CODESYS lub z wiersza poleceń systemu Windows. Skrypty mogą być uruchamiane albo z katalogu instalacyjnego, który jest domyślnie zabezpieczony uprawnieniami administratora, albo z podfolderów “%PROGRAMDATA%\CODESYS\”. Ten ostatni jest zapisywalny dla wszystkich użytkowników o niskich uprawnieniach, dzięki czemu inny użytkownik może przechowywać tutaj potencjalnie szkodliwe skrypty. CODESYS Scripting oferuje wszystkie dostępne skrypty do wykonania, więc legalny użytkownik może następnie wykonać złośliwe skrypty.

Aktualizacja	TAK
Link	https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=17769&token=a1a34cd304aebfbc1e2619e401a9a6cb5d4dc117&download==