Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-14480
CVSS 9.9 — CRITICO

CVE-2026-14480: Vulnerabilità critica in OpenPLC

Pubblicato il 2026-07-10 · Fonte: NVD NIST

CVE ID
CVE-2026-14480
CVSS Score
9.9
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-14480 colpisce OpenPLC Runtime v3, consentendo a un utente autenticato di scrivere file arbitrari ovunque sia possibile scrivere per il processo del server web OpenPLC. Ciò avviene a causa della mancanza di validazione o restrizione del percorso di destinazione per i file caricati. La vulnerabilità può essere sfruttata per eseguire codice nativo arbitrario, poiché i file sorgente C++ vengono compilati automaticamente nel binario runtime eseguibile.

Impatto

Un attaccante autenticato può sfruttare questa vulnerabilità per scrivere file arbitrari, inclusi file malevoli, all'interno della directory del runtime core di OpenPLC. Ciò può portare all'esecuzione di codice nativo arbitrario quando l'operatore avvia la compilazione e l'avvio del programma. I sistemi che utilizzano OpenPLC Runtime v3 sono a rischio, in particolare quelli che consentono l'accesso autenticato ai servizi web di OpenPLC.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare OpenPLC Runtime alla versione più recente disponibile, che dovrebbe includere patch per la vulnerabilità. In alternativa, è possibile implementare workaround come la limitazione dell'accesso ai servizi web di OpenPLC o la configurazione di controlli di accesso più restrittivi per la directory del runtime core. È inoltre importante seguire le migliori pratiche di sicurezza per la gestione degli accessi e la protezione dei sistemi.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-14480?

La vulnerabilità CVE-2026-14480 è una vulnerabilità di scrittura arbitraria di file in OpenPLC Runtime v3 che consente a un utente autenticato di scrivere file arbitrari ovunque sia possibile scrivere per il processo del server web OpenPLC.

Qual è l'impatto della vulnerabilità?

La vulnerabilità può essere sfruttata per eseguire codice nativo arbitrario, poiché i file sorgente C++ vengono compilati automaticamente nel binario runtime eseguibile.

Come proteggersi da CVE-2026-14480?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare OpenPLC Runtime alla versione più recente disponibile e di implementare workaround come la limitazione dell'accesso ai servizi web di OpenPLC o la configurazione di controlli di accesso più restrittivi per la directory del runtime core.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.