David Ruscheweyh

**Nome do Software Vulnerável e Versões Afetadas** CODESYS Development System (versões afetadas não especificadas) **Description** O software cria um diretório com permissões padrão inseguras durante a instalação administrativa. Isso permite que um invasor local com baixos privilégios modifique um arquivo temporário que define os componentes a serem instalados, o que pode levar à escalada de privilégios locais ao forçar a implantação de componentes arbitrários. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CODESYS Development System (versões afetadas não especificadas) **Description** O software extrai arquivos de instalação para um diretório temporário utilizando permissões padrão incorretas durante a instalação administrativa. Isso permite que um invasor local de baixo privilégio explore uma condição de corrida TOCTOU (Time-of-Check to Time-of-Use)—um cenário em que o sistema verifica uma condição e depois usa o resultado, mas a condição muda entre a verificação e o uso—para substituir arquivos verificados por arquivos maliciosos antes da conclusão da instalação, resultando em escalonamento de privilégios locais. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** CODESYS Development System (affected versions not specified) **Description** A local attacker with limited privileges can gain elevated rights if a legitimate user confirms a self-update prompt or initiates an installation of the CODESYS Development System. This is due to a Time-of-Check-to-Time-of-Use (TOCTOU) vulnerability present in the CODESYS installer. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.