CVE-2021-34593
CODESYS V2 runtime: unauthenticated invalid requests may result in denial-of-service
Em resumo
O CODESYS V2 Runtime permite que qualquer pessoa envie requisições inválidas especialmente preparadas que podem derrubar o sistema, parar programas em execução ou impedir que outros usuários se conectem ao controlador lógico programável (PLC).
Detalhe técnico
Atacantes remotos não autenticados podem enviar requisições malformadas ao CODESYS V2 Runtime (versões anteriores a V2.4.7.56) para provocar condições de negação de serviço, incluindo encerramento de processos, vazamento de memória e bloqueio de conexões. A vulnerabilidade requer acesso à rede, mas não exige autenticação, com alto impacto na disponibilidade do PLC.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In CODESYS V2 Runtime Toolkit 32 Bit full and PLCWinNT prior to versions V2.4.7.56 unauthenticated crafted invalid requests may result in several denial-of-service conditions. Running PLC programs may be stopped, memory may be leaked, or further communication clients may be blocked from accessing the PLC.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
CODESYS · CODESYS V2Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/164716/CODESYS-2.4.7.0-Denial-Of-Service.htmlhttp://packetstormsecurity.com/files/165874/WAGO-750-8xxx-PLC-Denial-Of-Service-User-Enumeration.htmlhttps://customers.codesys.com/index.php?eID=dumpFile&t=f&f=16877&token=8faab0fc1e069f4edfca5d5aba8146139f67a175&download=http://seclists.org/fulldisclosure/2021/Oct/64