CVSS: 6.1EPSS: 0%CPEs: 63EXPL: 0CVE-2021-22810
https://notcve.org/view.php?id=CVE-2021-22810
A CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could cause arbritrary script execution when a privileged account clicks on a malicious URL specifically crafted for the NMC pointing to a delete policy file. Affected Products: 1-Phase Uninterruptible Power Supply (UPS) using NMC2 including Smart-UPS, Symmetra, and Galaxy 3500 with Network Management Card 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.8 and earlier), 3-Phase Uninterruptible Power Supply (UPS) using NMC2 including Symmetra PX 250/500 (SYPX) Network Management Card 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.6 and earlier), 3-Phase Uninterruptible Power Supply (UPS) using NMC2 including Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX), and Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635CH (NMC2 AOS V6.9.6 and earlier), 1-Phase Uninterruptible Power Supply (UPS) using NMC3 including Smart-UPS, Symmetra, and Galaxy 3500 with Network Management Card 3 (NMC3): AP9640/AP9640J, AP9641/AP9641J, AP9643/AP9643J (NMC3 AOS V1.4.2.1 and earlier), APC Rack Power Distribution Units (PDU) using NMC2 2G Metered/Switched Rack PDUs with embedded NMC2: AP84XX, AP86XX, AP88XX, AP89XX (NMC2 AOS V6.9.6 and earlier), APC Rack Power Distribution Units (PDU) using NMC3 2G Metered/Switched Rack PDUs with embedded NMC3: APDU99xx (NMC3 AOS V1.4.0 and earlier), APC 3-Phase Power Distribution Products using NMC2 Galaxy RPP: GRPPIP2X84 (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 (NMC2) for InfraStruxure 150 kVA PDU with 84 Poles (X84P): PDPB150G6F (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 for InfraStruxure 40/60kVA PDU (XPDU) PD40G6FK1-M, PD40F6FK1-M, PD40L6FK1-M, PDRPPNX10 M,PD60G6FK1, PD60F6FK1, PD60L6FK1, PDRPPNX10, PD40E5EK20-M, PD40H5EK20-M (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 for Modular 150/175kVA PDU (XRDP): PDPM150G6F, PDPM150L6F, PDPM175G6H (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 for 400 and 500 kVA (PMM): PMM400-ALA, PMM400-ALAX, PMM400-CUB, PMM500-ALA, PMM500-ALAX, PMM500-CUB (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 for Modular PDU (XRDP2G): PDPM72F-5U, PDPM138H-5U, PDPM144F, PDPM138H-R, PDPM277H, PDPM288G6H (NMC2 AOS V6.9.6 and earlier), Rack Automatic Transfer Switches (ATS) Embedded NMC2: Rack Automatic Transfer Switches - AP44XX (ATS4G) (NMC2 AOS V6.9.6 and earlier), Network Management Card 2 (NMC2) Cooling Products: InRow Cooling for series ACRP5xx, ACRP1xx, ACRD5xx, and ACRC5xx SKUs (ACRP2G), InRow Cooling for series ACRC10x SKUs (RC10X2G), InRow Cooling for series ACRD6xx and ACRC6xx SKUs (ACRD2G), InRow Cooling Display for series ACRD3xx (ACRC2G), InRow Cooling for series ACSC1xx SKUs (SC2G), InRow Cooling for series ACRD1xx and ACRD2xx (ACRPTK2G), Ecoflair IAEC25/50 Air Economizer Display (EB2G), Uniflair SP UCF0481I, UCF0341I (UNFLRSP), Uniflair LE DX Perimeter Cooling Display for SKUs: IDAV, IDEV, IDWV, IUAV, IUEV, IUWV, IXAV, IXEV, IXWV, LDAV, LDEV, and LDWV (LEDX2G), Refrigerant Distribution Unit: ACDA9xx (RDU) (NMC2 AOS V6.9.6 and earlier), Environmental Monitoring Unit with embedded NMC2 (NB250): NetBotz NBRK0250 (NMC2 AOS V6.9.6 and earlier), and Network Management Card 2 (NMC2): AP9922 Battery Management System (BM4) (NMC2 AOS V6.9.6 and earlier) Una CWE-79: Se presenta una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting") que podría causar una ejecución de un script arbitrario cuando una cuenta con privilegios hace clic en una URL maliciosa específicamente diseñada para el NMC que apunta a un archivo de política de eliminación. Productos afectados: Sistemas de alimentación ininterrumpida (SAI) monofásicos que usan NMC2, incluidos Smart-UPS, Symmetra y Galaxy 3500 con Network Management Card 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.8 y anteriores), Sistema de Alimentación Ininterrumpida (SAI) trifásico usando NMC2 incluyendo Symmetra PX 250/500 (SYPX) Tarjeta de administración de Red 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.6 y anteriores), sistemas de alimentación ininterrumpida (SAI) trifásicos que usan NMC2, incluidos los SAI Symmetra PX 48/96/100/160 kW (PX2), los SAI Symmetra PX 20/40 kW (SY3P), Gutor (SXW, GVX) y Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635CH (NMC2 AOS V6.9.6 y anteriores), Sistema de Alimentación Ininterrumpida (SAI) monofásico usado NMC3 incluyendo Smart-UPS, Symmetra, y Galaxy 3500 con Network Management Card 3 (NMC3): AP9640/AP9640J, AP9641/AP9641J, AP9643/AP9643J (NMC3 AOS V1.4.2.1 y anteriores), Unidades de distribución de energía (PDU) de rack de APC que usan NMC2 2G PDU de rack medido/conmutado con NMC2 incorporado: AP84XX, AP86XX, AP88XX, AP89XX (NMC2 AOS V6.9.6 y anteriores), Unidades de distribución de energía (PDU) en rack de APC que usan PDU en rack medido/conmutado NMC3 2G con NMC3 integrado: APDU99xx (NMC3 AOS V1.4. 0 y anteriores), productos de distribución de energía trifásica de APC que usan NMC2 Galaxy RPP: GRPPIP2X84 (NMC2 AOS V6.9.6 y anteriores), tarjeta de administración de red 2 (NMC2) para InfraStruxure 150 kVA PDU con 84 polos (X84P): PDPB150G6F (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para InfraStruxure 40/60kVA PDU (XPDU) PD40G6FK1-M, PD40F6FK1-M, PD40L6FK1-M, PDRPPNX10 M,PD60G6FK1, PD60F6FK1, PD60L6FK1, PDRPPNX10, PD40E5EK20-M, PD40H5EK20-M (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para PDU Modular 150/175kVA (XRDP): PDPM150G6F, PDPM150L6F, PDPM175G6H (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de red 2 para 400 y 500 kVA (PMM): PMM400-ALA, PMM400-ALAX, PMM400-CUB, PMM500-ALA, PMM500-ALAX, PMM500-CUB (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para PDU Modular (XRDP2G): PDPM72F-5U, PDPM138H-5U, PDPM144F, PDPM138H-R, PDPM277H, PDPM288G6H (NMC2 AOS V6.9.6 y anteriores), Rack Automatic Transfer Switches (ATS) Embedded NMC2: Interruptores de transferencia automática en rack - AP44XX (ATS4G) (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de red 2 (NMC2) Productos de refrigeración: InRow Cooling para las series ACRP5xx, ACRP1xx, ACRD5xx y ACRC5xx SKU (ACRP2G), InRow Cooling para las series ACRC10x SKU (RC10X2G), InRow Cooling para las series ACRD6xx y ACRC6xx SKU (ACRD2G), InRow Cooling Display para las series ACRD3xx (ACRC2G), InRow Cooling para las series ACSC1xx SKUs (SC2G), InRow Cooling para las series ACRD1xx y ACRD2xx (ACRPTK2G), Ecoflair IAEC25/50 Air Economizer Display (EB2G), Uniflair SP UCF0481I, UCF0341I (UNFLRSP), Uniflair LE DX Perimeter Cooling Display para SKUs: IDAV, IDEV, IDWV, IUAV, IUEV, IUWV, IXAV, IXEV, IXWV, LDAV, LDEV y LDWV (LEDX2G), Unidad de distribución de refrigerante: ACDA9xx (RDU) (NMC2 AOS V6.9.6 y anteriores), Unidad de Monitorización Ambiental con NMC2 integrado (NB250): NetBotz NBRK0250 (NMC2 AOS V6.9.6 y anteriores), y Tarjeta de administración de Red 2 (NMC2): AP9922 Sistema de administración de la batería (BM4) (NMC2 AOS V6.9.6 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.0EPSS: 0%CPEs: 4EXPL: 0CVE-2021-22825
https://notcve.org/view.php?id=CVE-2021-22825
A CWE-200: Exposure of Sensitive Information to an Unauthorized Actor vulnerability exists that could allow an attacker to access the system with elevated privileges when a privileged account clicks on a malicious URL that compromises the security token. Affected Products: AP7xxxx and AP8xxx with NMC2 (V6.9.6 or earlier), AP7xxx and AP8xxx with NMC3 (V1.1.0.3 or earlier), and APDU9xxx with NMC3 (V1.0.0.28 or earlier) Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información confidencial a un Actor no Autorizado que podría permitir a un atacante acceder al sistema con privilegios elevados cuando una cuenta privilegiada hace clic en una URL maliciosa que compromete el token de seguridad. Productos afectados: AP7xxxx y AP8xxx con NMC2 (V6.9.6 o anterior), AP7xxx y AP8xxx con NMC3 (versiones V1.1.0.3 o anteriores), y APDU9xxx con NMC3 (versiones V1.0.0.28 o anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •