CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-22804
https://notcve.org/view.php?id=CVE-2022-22804
A CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could allow an authenticated attacker to view data, change settings, or impact availability of the software when the user visits a page containing the injected payload. Affected Product: EcoStruxure Power Monitoring Expert (Versions 2020 and prior) Una CWE-79: Se presenta una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting") que podría permitir a un atacante autenticado visualizar datos, cambiar la configuración o afectar a la disponibilidad del software cuando el usuario visita una página que contiene la carga útil inyectada. Producto afectado: EcoStruxure Power Monitoring Expert (Versiones 2020 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-22726
https://notcve.org/view.php?id=CVE-2022-22726
A CWE-20: Improper Input Validation vulnerability exists that could allow arbitrary files on the server to be read by authenticated users through a limited operating system service account. Affected Product: EcoStruxure Power Monitoring Expert (Versions 2020 and prior) Una CWE-20: Se presenta una vulnerabilidad de Comprobación de Entrada Inapropiada que podría permitir una lectura de archivos arbitrarios en el servidor por parte de usuarios autenticados mediante una cuenta de servicio del sistema operativo limitada. Producto afectado: EcoStruxure Power Monitoring Expert (Versiones 2020 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07 • CWE-20: Improper Input Validation •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-22727
https://notcve.org/view.php?id=CVE-2022-22727
A CWE-20: Improper Input Validation vulnerability exists that could allow an unauthenticated attacker to view data, change settings, impact availability of the software, or potentially impact a user�s local machine when the user clicks a specially crafted link. Affected Product: EcoStruxure Power Monitoring Expert (Versions 2020 and prior) Una CWE-20: Se presenta una vulnerabilidad de Comprobación de Entrada Inapropiada que podría permitir a un atacante no autenticado visualizar datos, cambiar la configuración, afectar a la disponibilidad del software o potencialmente afectar a la máquina local de un usuario cuando éste hace clic en un enlace especialmente diseñado. Producto afectado: EcoStruxure Power Monitoring Expert (versiones 2020 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-22725
https://notcve.org/view.php?id=CVE-2022-22725
A CWE-120: Buffer Copy without Checking Size of Input vulnerability exists that could lead to a buffer overflow causing program crashes and arbitrary code execution when specially crafted packets are sent to the device over the network. Protection functions and tripping function via GOOSE can be impacted. Affected Product: Easergy P3 (All versions prior to V30.205) Una CWE-120: Se presenta una vulnerabilidad de Copia del Búfer sin Comprobar el Tamaño de la Entrada que podría conllevar a un desbordamiento del búfer que causaría el bloqueo del programa y la ejecución de código arbitrario cuando son enviados paquetes especialmente diseñados al dispositivo a través de la red. Las funciones Protection y la función tripping por medio de GOOSE pueden verse afectadas. Producto afectado: Easergy P3 (Todas las versiones anteriores a la V30.205) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-04 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0CVE-2020-7534
https://notcve.org/view.php?id=CVE-2020-7534
A CWE-352: Cross-Site Request Forgery (CSRF) vulnerability exists on the web server used, that could cause a leak of sensitive data or unauthorized actions on the web server during the time the user is logged in. Affected Products: Modicon M340 CPUs: BMXP34 (All Versions), Modicon Quantum CPUs with integrated Ethernet (Copro): 140CPU65 (All Versions), Modicon Premium CPUs with integrated Ethernet (Copro): TSXP57 (All Versions), Modicon M340 ethernet modules: (BMXNOC0401, BMXNOE01, BMXNOR0200H) (All Versions), Modicon Quantum and Premium factory cast communication modules: (140NOE77111, 140NOC78*00, TSXETY5103, TSXETY4103) (All Versions) Una CWE-352: Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) se presenta en el servidor web usado, que podría causar un filtrado de datos confidenciales o acciones no autorizadas en el servidor web durante el tiempo en que el usuario está conectado. Productos afectados: CPUs Modicon M340: BMXP34 (Todas las versiones), CPUs Modicon Quantum con Ethernet integrada (Copro): 140CPU65 (Todas las versiones), CPUs Modicon Premium con Ethernet integrada (Copro): TSXP57 (Todas las versiones), Módulos ethernet Modicon M340: (BMXNOC0401, BMXNOE01, BMXNOR0200H) (Todas las versiones), Módulos de comunicación de fábrica Modicon Quantum y Premium: (140NOE77111, 140NOC78*00, TSXETY5103, TSXETY4103) (Todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01 • CWE-352: Cross-Site Request Forgery (CSRF) •