CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22818
https://notcve.org/view.php?id=CVE-2021-22818
A CWE-307 Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow an attacker to gain unauthorized access to the charging station web interface by performing brute force attacks. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-307: Se presenta una vulnerabilidad de Restricción Inapropiada de Intentos de Autenticación Excesivos que podría permitir a un atacante obtener acceso no autorizado a la interfaz web de la estación de carga llevando a cabo ataques de fuerza bruta. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22819
https://notcve.org/view.php?id=CVE-2021-22819
A CWE-1021 Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause unintended modifications of the product settings or user accounts when deceiving the user to use the web interface rendered within iframes. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Una CWE-1021: Se presenta una vulnerabilidad de Restricción Inapropiada de las Capas o Marcos de la Interfaz de Usuario Renderizados que podría causar modificaciones no intencionadas de la configuración del producto o de las cuentas de usuario cuando es engañado al usuario para que use la interfaz web renderizada dentro de iframes. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVSS: 8.8EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22725
https://notcve.org/view.php?id=CVE-2021-22725
A CVE-352 Cross-Site Request Forgery (CSRF) vulnerability exists that could allow an attacker to impersonate the user or carry out actions on their behalf when crafted malicious parameters are submitted in POST requests sent to the charging station web server. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Se presenta una vulnerabilidad CVE-352 de tipo Cross-Site Request Forgery (CSRF) que podría permitir a un atacante hacerse pasar por el usuario o realizar acciones en su nombre cuando son enviados parámetros maliciosos diseñados en peticiones POST enviadas al servidor web de la estación de carga. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 12EXPL: 0CVE-2021-22724
https://notcve.org/view.php?id=CVE-2021-22724
A CVE-352 Cross-Site Request Forgery (CSRF) vulnerability exists that could allow an attacker to impersonate the user or carry out actions on their behalf when crafted malicious parameters are submitted in POST requests sent to the charging station web server. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2) Se presenta una vulnerabilidad CVE-352 de tipo Cross-Site Request Forgery (CSRF) que podría permitir a un atacante hacerse pasar por el usuario o llevar a cabo acciones en su nombre cuando son enviados parámetros maliciosos diseñados en peticiones POST enviadas al servidor web de la estación de carga. Productos afectados: EVlink City EVC1S22P4 / EVC1S7P4 (Todas las versiones anteriores a R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (Todas las versiones anteriores a R8 V3.4.0.2), y EVlink Smart Wallbox EVB1A (Todas las versiones anteriores a R8 V3.4.0.2) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22748 – Schneider Electric C-Bus Toolkit CONFIG SAVE Directory Traversal Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2021-22748
A CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability exists that could allow a remote code execution when a file is saved. Affected Product: C-Bus Toolkit (V1.15.9 and prior), C-Gate Server (V2.11.7 and prior) Una CWE-22: Se presenta una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta a un Directorio Restringido ("Path Traversal") que podría permitir una ejecución de código remota cuando es guardado un archivo. Producto afectado: C-Bus Toolkit (versiones V1.15.9 y anteriores), C-Gate Server (versiones V2.11.7 y anteriores) This vulnerability allows remote attackers to execute arbitrary code on affected installations of Schneider Electric C-Bus Toolkit. Although authentication is required to exploit this vulnerability, the existing authentication mechanism can be bypassed. The specific flaw exists within the processing of commands sent to the C-Gate 2 Service. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. • http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-103-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •