CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22822
https://notcve.org/view.php?id=CVE-2021-22822
A CWE-79 Improper Neutralization of Input During Web Page Generation (�Cross-site Scripting�) vulnerability exists that could allow an attacker to impersonate the user who manages the charging station or carry out actions on their behalf when crafted malicious parameters are submitted to the charging station web server. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-79: Se presenta una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting") que podría permitir a un atacante hacerse pasar por el usuario que administra la estación de carga o realizar acciones en su nombre cuando son enviados parámetros maliciosos diseñados al servidor web de la estación de carga. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.6EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22821
https://notcve.org/view.php?id=CVE-2021-22821
A CWE-918 Server-Side Request Forgery (SSRF) vulnerability exists that could cause the station web server to forward requests to unintended network targets when crafted malicious parameters are submitted to the charging station web server. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-918: Se presenta una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) que podría causar al servidor web de la estación reenviar peticiones a objetivos de red no deseados cuando son enviados parámetros maliciosos diseñados al servidor web de la estación de carga. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.8EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22820
https://notcve.org/view.php?id=CVE-2021-22820
A CWE-614 Insufficient Session Expiration vulnerability exists that could allow an attacker to maintain an unauthorized access over a hijacked session to the charger station web server even after the legitimate user account holder has changed his password. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-614: Se presenta una vulnerabilidad de Caducidad de Sesión Insuficiente que podría permitir a un atacante mantener un acceso no autorizado a través de una sesión secuestrada al servidor web de la estación de carga incluso después de que el titular legítimo de la cuenta de usuario haya cambiado su contraseña. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-613: Insufficient Session Expiration •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22819
https://notcve.org/view.php?id=CVE-2021-22819
A CWE-1021 Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause unintended modifications of the product settings or user accounts when deceiving the user to use the web interface rendered within iframes. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-1021: Se presenta una vulnerabilidad de Restricción Inapropiada de las Capas o Marcos de la Interfaz de Usuario Renderizados que podría causar modificaciones no intencionadas de la configuración del producto o de las cuentas de usuario cuando es engañado al usuario para que use la interfaz web renderizada dentro de iframes. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22818
https://notcve.org/view.php?id=CVE-2021-22818
A CWE-307 Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow an attacker to gain unauthorized access to the charging station web interface by performing brute force attacks. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-307: Se presenta una vulnerabilidad de Restricción Inapropiada de Intentos de Autenticación Excesivos que podría permitir a un atacante obtener acceso no autorizado a la interfaz web de la estación de carga llevando a cabo ataques de fuerza bruta. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-307: Improper Restriction of Excessive Authentication Attempts •