Pubblicato il 2026-07-18 · Fonte: NVD NIST
La vulnerabilità CVE-2026-11826 è un overflow di buffer basato su heap presente nella funzione getData() in webserver/core/modbus_master.cpp di OpenPLC_v3. Ciò consente a un attaccante autenticato di inviare una richiesta HTTP POST malformata all'endpoint /modbus, causando la sovrascrittura di campi adiacenti e portando a un crash del processo di controllo PLC. La gravità di questa vulnerabilità è alta, con un punteggio CVSS di 8.8.
Un attaccante può sfruttare questa vulnerabilità per causare un denial of service del processo di controllo PLC, sovrascrivendo campi di configurazione adiacenti. Ciò può portare a un'interruzione del servizio e potenzialmente avere impatti significativi sui sistemi di controllo. I sistemi a rischio sono quelli che utilizzano OpenPLC_v3 e sono accessibili tramite la web interface.
Vendor: N/A
Prodotti: N/A
Poiché il repository upstream è stato archiviato e non è previsto un fix, è consigliabile evitare l'utilizzo di OpenPLC_v3 e passare a versioni successive come OpenPLC Runtime v4, che non è vulnerabile a questo problema. Inoltre, è importante limitare l'accesso alla web interface e implementare misure di sicurezza aggiuntive per prevenire attacchi.
La vulnerabilità CVE-2026-11826 è un overflow di buffer basato su heap presente in OpenPLC_v3 che può portare a crash e denial of service.
Un attaccante autenticato può inviare una richiesta HTTP POST malformata all'endpoint /modbus per sfruttare la vulnerabilità.
È consigliabile passare a versioni successive di OpenPLC come OpenPLC Runtime v4 e implementare misure di sicurezza aggiuntive per limitare l'accesso alla web interface.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.