CODESYS运行时系统授权检查不足漏洞(VDE-2026-056)

漏洞概述 漏洞编号：VDE-2026-056 发布日期：2026年5月26日 厂商：CODESYS GmbH 外部ID：Advisory2026-08_VDE-2026-056 漏洞描述：CODESYS Control 运行时系统提供了一个用户管理机制，包含多个权限组，包括可视化管理员组，该组仅用于管理可视化用户。由于授权检查不足，低权限的可视化管理员可以删除高权限账户。然而，独立机制保护了最后一个设备管理员账户的删除，防止完全失去对设备的管理访问权限。只有当启用了可选的可视化用户管理功能并配置了可视化管理员账户时，CODESYS Control 运行时系统才会受到影响。 影响范围 受影响产品： - CODESYS Control RTE (SL) - CODESYS Control RTE (for Beckhoff CX) SL - CODESYS Control Win (SL) - CODESYS Control for BeagleBone SL - CODESYS Control for IOT2000 SL - CODESYS Control for Linux ARM SL - CODESYS Control for Linux SL - CODESYS Control for PFC100 SL - CODESYS Control for PFC200 SL - CODESYS Control for PLCnext SL - CODESYS Control for Raspberry Pi SL - CODESYS Control for WAGO Touch Panels 600 SL - CODESYS Control for emPC-A/IMX6 SL - CODESYS HMI (SL) - CODESYS Runtime Toolkit - CODESYS Virtual Control SL 受影响版本： - 版本 <3.5.22.20 - 版本 <4.21.0.0 修复方案 修复版本： - 更新以下产品至版本 3.5.22.20： - CODESYS Control RTE (SL) - CODESYS Control RTE (for Beckhoff CX) SL - CODESYS Control Win (SL) - CODESYS HMI (SL) - CODESYS Runtime Toolkit - 更新以下产品至版本 4.21.0.0（预计2026年6月发布）： - CODESYS Control for BeagleBone SL - CODESYS Control for emPC-A/IMX6 SL - CODESYS Control for IOT2000 SL - CODESYS Control for Linux ARM SL - CODESYS Control for Linux SL - CODESYS Control for PFC100 SL - CODESYS Control for PFC200 SL - CODESYS Control for PLCnext SL - CODESYS Control for Raspberry Pi SL - CODESYS Control for WAGO Touch Panels 600 SL - CODESYS Virtual Control SL 下载和安装： - CODESYS Development System 和 CODESYS 附加产品可以通过 CODESYS Installer 直接下载和安装，或从 CODESYS Store 下载。 - 其他产品的软件更新可在 CODESYS 更新区域获取：https://www.codesys.com/download/ 漏洞利用代码（POC） 页面中未提供具体的POC代码或利用代码。 致谢 CODESYS GmbH 感谢以下各方的努力： - CERT@VDE 协调（见 https://www.certvde.com） - ABB AG 报告 修订历史 版本：1.0.0 日期：2026年5月26日 12:00 摘要：初始版本

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CODESYS运行时系统授权检查不足漏洞(VDE-2026-056)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！