Rigoblock

**Nome do software vulnerável e versões afetadas** Produtos CODESYS (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite o acesso a arquivos internos no diretório de trabalho, como arquivos de firmware do PLC, por meio da função de download e upload de arquivos. Isso é possível se nenhuma senha de nível 1 estiver configurada no controlador ou se um invasor remoto já tiver se autenticado com sucesso no controlador. Um ataque bem-sucedido pode resultar em negação de serviço, alteração de arquivos locais ou vazamento de informações confidenciais. Não é necessária a interação do usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** RigoBlock Dragos até 17/02/2022 **Descrição** O problema está relacionado à ausência do modificador `onlyOwner` na função `setMultipleAllowances`, o que permite a manipulação de tokens. Essa vulnerabilidade foi explorada em ambiente real em fevereiro de 2022. É necessária uma atualização significativa do protocolo para corrigir o problema. **Recomendações** Para o RigoBlock Dragos até 17/02/2022, considere desativar a função `setMultipleAllowances` até que ocorra uma grande atualização do protocolo para impedir a manipulação de tokens. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.