OpenPLC Runtime v3 Persistent DoS 漏洞信息(CVE-2025-34226)

一、漏洞 CVE-2025-34226 基础信息

漏洞信息

                                        # OpenPLC Runtime v3 持续拒绝服务漏洞

## 概述

OpenPLC Runtime v3 存在一个输入验证漏洞，位于程序上传接口 `/upload-program-action`。攻击者可通过构造恶意的 `epoch_time` 字段导致程序数据库损坏。

## 影响版本

- **受影响版本**：v3 及之前版本
- **修复版本**：通过提交 [095ee09623dd229b64ad3a1db38a901a3772f6fc](https://github.com/thiagoralves/OpenPLC_v3/commit/095ee09623dd229b64ad3a1db38a901a3772f6fc) 进行修复

## 漏洞细节

在 `/upload-program-action` 接口中，上传程序时提供的 `epoch_time` 参数未进行有效性验证。攻击者可以提交恶意数值，导致数据库中的时间戳字段异常或损坏。

## 影响

- 运行时在重启前仍可正常运行
- 重启后运行时可能因数据库损坏而无法启动
- 引发**持久性拒绝服务（DoS）**
- **需重装或重新初始化产品**才能恢复正常运行

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

OpenPLC Runtime v3 Persistent DoS

来源：美国国家漏洞数据库 NVD

漏洞描述信息

OpenPLC Runtime v3 contains an input validation flaw in the /upload-program-action endpoint: the epoch_time field supplied during program uploads is not validated and can be crafted to induce corruption of the programs database. After a successful malformed upload the runtime continues to operate until a restart; on restart the runtime can fail to start because of corrupted database entries, resulting in persistent denial of service requiring complete rebase of the product to recover. This vulnerability was remediated by commit 095ee09623dd229b64ad3a1db38a901a3772f6fc.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

在生命周期中对资源的控制不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

OpenPLC Runtime version 3 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

OpenPLC Runtime version 3是Thiago Alves个人开发者的一个可编程逻辑控制器。 OpenPLC Runtime version 3存在安全漏洞，该漏洞源于epoch_time字段输入验证不足，可能导致程序数据库损坏，造成持久性拒绝服务。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-34226 的公开POC

#	POC 描述	源链接	神龙链接
1	OpenPLC Runtime suffers from a persistent denial of service (DoS) vulnerability in the /upload-program-action endpoint.	https://github.com/Eyodav/CVE-2025-34226	POC详情

三、漏洞 CVE-2025-34226 的情报信息

标题： Autonomy – Open-source PLC Software -- 🔗来源链接

标签： product
神龙速读
标题： Forbidden -- 🔗来源链接

标签： issue-tracking
神龙速读
标题： Update webserver.py (Fix DoS vulnerability) by Eyodav · Pull Request #297 · thiagoralves/OpenPLC_v3 · GitHub -- 🔗来源链接

标签： patch
神龙速读
标题： OpenPLC Runtime v3 Persistent DoS | Advisories | VulnCheck -- 🔗来源链接

标签： third-party-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-34226

四、漏洞 CVE-2025-34226 的评论

暂无评论

一、 漏洞 CVE-2025-34226 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-34226 的公开POC

三、漏洞 CVE-2025-34226 的情报信息

四、漏洞 CVE-2025-34226 的评论

发表评论

一、漏洞 CVE-2025-34226 基础信息