| Produkt | AXC F – wiele modeli i wersji przed 2026.0.3 BCP 9102S – wersje przed 2026.0.3 EPC 1522 – wersje przed 2026.0.3 RFC 4072R – wersje przed 2026.0.3 RFC 4072S – wersje przed 2026.0.3 VL3 UPC 2440 EDGE – wersje przed 2026.0.3 VPLCNEXT CONTROL – wiele modeli i wersji przed 2026.0.3 |
| Numer CVE | CVE-2025-41669 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Zarządzanie przez Internet umożliwia zdalnemu użytkownikowi o niskich uprawnieniach (Inżynierowi) instalację dodatkowych aplikacji (APP) na urządzeniu pobranym ze sklepu PLCnext Store bez implementacji mechanizmu weryfikacji danych, co umożliwia użytkownikowi inżynierowi wykonanie dowolnego kodu z uprawnieniami roota na urządzeniu PLC. Skuteczne wykorzystanie luki może umożliwić instalację zmodyfikowanego pakietu aplikacji (APP), co potencjalnie wpłynie na integralność i dostępność sterownika PLCnext. |
| Numer CVE | CVE-2025-41670 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Użytkownik lokalny z niskimi uprawnieniami może wpływać na działanie uprzywilejowanej usługi systemowej, manipulując plikami konfiguracyjnymi lub związanymi z aplikacjami, znajdującymi się w obszarach systemu plików, do których użytkownik ma prawo zapisu. Usługa, której dotyczy problem, przetwarza dane z lokalizacji, które nie są wystarczająco chronione przed modyfikacją przez użytkowników o niskich uprawnieniach. Ponieważ usługa działa z podwyższonymi uprawnieniami, udane wykorzystanie luki może skutkować eskalacją lokalnych uprawnień. |
| Aktualizacja | TAK |
| Link | https://assets.phoenixcontact.com/file/a9721fd9-1ad4-495c-b341-15d3a5f363a9/media/original?pcsa-2026-00005_vde-2026-050.pdf |
Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P26-202)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny