Resumen ejecutivo
CERT@VDE en colaboración con CODESYS han publicado 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante remoto, no, autenticado agotar las conexiones TCP disponibles en la pila de adaptadores EtherNet/IP, para impedir que los clientes legítimos establezcan nuevas conexiones.
Recursos afectados
- CODESYS EtherNetIP en todas las versiones anteriores a 4.9.0.0.La vulnerabilidad afecta a todos los proyectos de CODESYS que incluyen una configuración de adaptador EtherNet/IP.
Análisis técnico
- CVE-2026-35225: vulnerabilidad de verificación inadecuada de condiciones que afecta al adaptador EtherNet/IP, ya que este no realiza las comprobaciones de tiempo de espera en las conexiones TCP activas. Esto da como resultado que las conexiones caducadas no se liberan, impidiendo así que se puedan establecer nuevas conexiones TCP. Un atacante podría explotar esta vulnerabilidad para impedir que clientes legítimos establezcan nuevas conexiones.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-35225 | Alta | No | CODESYS |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Mitigación / Solución
Se recomienda actualizar el producto a la versión 4.9.0.0.