| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in CODESYS Installer gefunden. Betroffen davon ist eine unbekannte Funktion. Durch das Manipulieren mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2026-2364 bekannt. Der Angriff muss lokal passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In CODESYS Installer wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft ein unbekannter Codeblock. Durch Manipulation mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-367. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
If a legitimate user confirms a self-update prompt or initiate an installation of a CODESYS Development System, a low privileged local attacker can gain elevated rights due to a TOCTOU vulnerability in the CODESYS installer.Die Schwachstelle wurde durch David Ruscheweyh als VDE-2026-012 an die Öffentlichkeit getragen. Das Advisory kann von certvde.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 11.02.2026 mit CVE-2026-2364 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 2.6.1.0 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-0640) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- CODESYS CODESYS
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 7.4
VulDB Base Score: 7.8
VulDB Temp Score: 7.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.3
CNA Vector (CERTVDE): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-367 / CWE-362
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Installer 2.6.1.0
Timeline
11.02.2026 CVE zugewiesen10.03.2026 Advisory veröffentlicht
10.03.2026 VulDB Eintrag erstellt
15.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: VDE-2026-012Person: David Ruscheweyh
Status: Bestätigt
CVE: CVE-2026-2364 (🔒)
GCVE (CVE): GCVE-0-2026-2364
GCVE (VulDB): GCVE-100-349936
CERT Bund: WID-SEC-2026-0640 - CODESYS Installer: Schwachstelle ermöglicht Privilegieneskalation
Eintrag
Erstellt: 10.03.2026 09:31Aktualisierung: 15.03.2026 21:11
Anpassungen: 10.03.2026 09:31 (63), 11.03.2026 02:07 (7), 15.03.2026 21:11 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.