漏洞概述 漏洞名称: Improper timeout handling in CODESYS EtherNet/IP CVE编号: CVE-2026-35225 CVSS评分: 7.5 (HIGH) 描述: CODESYS EtherNet/IP 是一个为 CODESYS 开发系统提供完全集成的 EtherNet/IP 协议栈的附加组件。该漏洞允许未经身份验证的远程攻击者耗尽 CODESYS EtherNet/IP 适配器堆栈中所有可用的 TCP 连接,从而阻止合法客户端建立新连接。 影响范围 受影响产品: - CODESYS EtherNet/IP < 4.9.0.8 - CODESYS EtherNet/IP 4.9.0.8 修复方案 修复版本: 更新到 CODESYS EtherNet/IP 4.9.0.8 或更高版本。 其他建议: - 使用控制器和受保护设备,仅在受信任环境中最小化网络暴露,并确保它们不对外部访问。 - 使用防火墙保护和控制系统的网络,从外部网络激活并加强用户管理和密码策略。 - 限制对开发和控制系统的物理访问。 - 如果远程访问需要,使用加密通信链路,如 VPN。 - 通过定期更新病毒检测解决方案,保护机器和工厂免受病毒和恶意软件的影响。 其他信息 发布日期: 2026-04-23T12:00:00.000Z 最后更新: 2026-04-23T12:24:47.32Z 参考链接: - CERTDE Security Advisories - CODESYS Security Advisories - CVSS Calculator 代码块 无 POC 代码或利用代码。