漏洞概述 漏洞名称: CODESYS Visualization - Insufficiently Protected Credentials 漏洞描述: 在 CODESYS Visualization 的登录对话框中检测到漏洞。当多个用户同时执行登录操作时,认证数据可能不会被正确隔离。因此,一个已认证的用户可能会获取到另一个 Visualization 用户输入的凭据。该问题仅影响处于活动可视化会话中的登录操作,并可通过本地和远程访问触发。 CVSS 评分: 2.0 (Medium) 发布日期: 2026-05-21T00:00:00.000Z 最后修订: 2026-05-21T00:00:00.000Z 影响范围 受影响产品: CODESYS Visualization 4.10.0.0 产品 ID: CSAPPID-52001 CVE 编号: CVE-2026-0393 CWE 编号: CWE-522 攻击向量: NETWORK 可用性影响: NONE 基础得分: 5.7 基础严重性: MEDIUM 机密性影响: HIGH 环境得分: 5.7 环境严重性: MEDIUM 完整性影响: NONE 特权要求: LOW 范围: UNCHANGED 时间严重性: MEDIUM 用户交互: REQUIRED 向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N 修复方案 缓解措施: - 避免使用输入操作 "User Management -> Login" 来更改当前用户或与其他用户重新登录。 - 使用输入操作 "User Management -> Logout" 进行完全注销,然后重新登录。 - 或者,禁用可视化中的属性处理,通过项目设置 -> 可视化 -> 常规 -> 高级 -> 激活所有元素属性中的属性处理。 产品修复: - 将产品更新到版本 4.10.0.1。 - 对于现有的受影响的 CODESYS 项目,包括可视化,修复仅在重新编译应用程序并下载新的下载到 HMI 或 PLC 后生效。 - 受影响的 CODESYS Visualization 开发系统和产品可作为 CODESYS 附加组件下载,并可直接通过 CODESYS 安装程序下载,或从 CODESYS 商店下载。 - 有关获取软件更新的更多信息,请访问 CODESYS 更新区域:https://www.codesys.com/download/ 一般建议: - 使用控制器和设备至少在一个受保护的环境中,以最小化网络暴露并确保它们不可从外部访问。 - 使用防火墙来保护和控制对控制系统的网络访问。 - 限制对开发和控制系统的访问。 - 使用加密通信链路。 - 如果远程访问是必需的,使用 VPN (虚拟专用网络) 隧道。 - 使用最新的病毒检测解决方案。 - 有关更多信息和一般建议,请参阅 CODESYS 安全白皮书:https://www.customers.codesys.com/fileadmin/data/Security/Security-measures/CODESYS-Security-Whitepaper.pdf