複数の CODESYS Control 製品に任意の OS コマンドを実行される脆弱性 | ScanNetSecurity
2026.07.15(水)

複数の CODESYS Control 製品に任意の OS コマンドを実行される脆弱性

IPAおよびJPCERT/CCは、CODESYS GmbHが提供する複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月6日、CODESYS GmbHが提供する複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

 Linux OSもしくはQNX OS上で動作するCODESYS Control runtimeには、OSコマンドインジェクション(CVE-2023-6357)の脆弱性が存在する。影響を受けるシステムは次の通り。

・CODESYS Control for BeagleBone SL 4.11.0.0より前のバージョン
・CODESYS Control for emPC-A/iMX6 SL 4.11.0.0より前のバージョン
・CODESYS Control for IOT2000 SL 4.11.0.0より前のバージョン
・CODESYS Control for Linux ARM SL 4.11.0.0より前のバージョン
・CODESYS Control for Linux SL 4.11.0.0より前のバージョン
・CODESYS Control for PFC100 SL 4.11.0.0より前のバージョン
・CODESYS Control for PFC200 SL 4.11.0.0より前のバージョン
・CODESYS Control for PLCnext SL 4.11.0.0より前のバージョン
・CODESYS Control for Raspberry Pi SL 4.11.0.0より前のバージョン
・CODESYS Control for WAGO Touch Panels 600 SL 4.11.0.0より前のバージョン
・CODESYS Runtime Toolkit for Linux or QNX 3.5.19.50より前のバージョン

 この脆弱性が悪用されると、当該製品のユーザによって、SysFileやCAA Fileのシステムライブラリを利用され、任意のOSコマンドを実行される可能性がある。

 JVNでは開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお、CODESYS Runtime Toolkitは「CODESYS Runtime Toolkit 3.5.19.50」で脆弱性が修正されている。また、開発者はワークアラウンドの適用も推奨している。

 この脆弱性情報は、株式会社ゼロゼロワンの早川宙也氏がJPCERT/CCに報告した。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop