CVE-2025-41669
WysokieStreszczenie
Zarządzanie oparte na sieci umożliwia zdalnemu użytkownikowi o niskich uprawnieniach instalację dodatkowych aplikacji na urządzeniu pobranych ze sklepu PLCnext bez weryfikacji danych, co prowadzi do możliwości wykonania dowolnego kodu z uprawnieniami roota na urządzeniu PLC.
Ocena ryzyka
Sukces w wykorzystaniu tej podatności może pozwolić na zainstalowanie zmanipulowanego pakietu aplikacji, co potencjalnie wpływa na integralność i dostępność kontrolera PLCnext.
Rekomendacja
Zaleca się wdrożenie mechanizmów weryfikacji danych przed instalacją aplikacji oraz ograniczenie uprawnień użytkowników inżynieryjnych.
Oryginalny opis (angielski, źródło NVD)
The Web-based Management allows a remote low privileged Engineer user to install additional APPs on the device downloaded from the PLCnext Store without implementing any data verification mechanism, leading to the capability for an Engineer user to reach arbitrary code execution with root privileges on the PLC device. A successful exploitation may allow to install a manipulated APP package, potentially impacting integrity and availability of the PLCnext Control.

