发布日期：2019-09-12
更新日期：2019-09-18

受影响系统：

codesys CODESYS Control for BeagleBone < 3.5.14.10
codesys CODESYS Control for emPC-A/iMX6
codesys CODESYS Control for IOT2000
codesys CODESYS Control for Linux
codesys CODESYS Control for PFC100
codesys CODESYS Control for PFC200
codesys CODESYS Control for Raspberry Pi
codesys CODESYS Control RTE V3
codesys CODESYS Control RTE V3 (for Beckhoff CX)
codesys CODESYS Control Win V3 (part of the CODESYS Development System setup)
codesys CODESYS Control V3 Runtime System Toolkit
codesys CODESYS HMI V3
codesys V3 Embedded Target Visu Toolkit
codesys V3 Remote Target Visu Toolkit

描述：

---

CVE(CAN) ID: CVE-2019-13532

CoDeSys 是一种功能强大的PLC软件编程工具。

包含CmpWebServer的CODESYS V3运行时系统3.5.14.0之前版本在实现上存在路径遍历漏洞，攻击者通过精心构造的http或https请求，可访问控制器受限制工作目录之外的文件。

<*来源：Ivan Cheyrezy
  *>

建议：

---

厂商补丁：

codesys
-------
目前3S-Smart Software Solutions GmbH已经发布了3.5.15.0修复了这个安全问题，请到厂商的主页下载：

https://www.codesys.com/download/
https://customers.codesys.com/fileadmin/data/customers/security/CODESYS-Security-Whitepaper.pdf
https://www.codesys.com/fileadmin/data/customers/security/2019/Advisory2019-06_CDS-64543.pdf

另外，建议用户采用下列通用防御措施以降低风险：
*在受保护环境中使用控制器及设备，以降低网络暴露风险；
*运用防火墙从其他网络中分离控制系统网络；
*如果需要远程访问，使用VPN；
*激活并应用用户管理及密码功能；
*通过物理方法等限制访问权限；
*使用最新的病毒检测产品。

浏览次数：1314
严重程度：0（网友投票）