Vulnerabilidad en la Generación de la Página Web ("Cross-site Scripting")diversos productos con Sistemas de alimentación ininterrumpida (SAI) monofásicos que usan NMC2, incluidos Smart-UPS Symmetra y Galaxy 3500 con Network Management Card 2 (NMC2) (CVE-2021-22810)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/01/2022
Última modificación:
04/02/2022
Descripción
Una CWE-79: Se presenta una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting") que podría causar una ejecución de un script arbitrario cuando una cuenta con privilegios hace clic en una URL maliciosa específicamente diseñada para el NMC que apunta a un archivo de política de eliminación. Productos afectados: Sistemas de alimentación ininterrumpida (SAI) monofásicos que usan NMC2, incluidos Smart-UPS, Symmetra y Galaxy 3500 con Network Management Card 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.8 y anteriores), Sistema de Alimentación Ininterrumpida (SAI) trifásico usando NMC2 incluyendo Symmetra PX 250/500 (SYPX) Tarjeta de administración de Red 2 (NMC2): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635J (NMC2 AOS V6.9.6 y anteriores), sistemas de alimentación ininterrumpida (SAI) trifásicos que usan NMC2, incluidos los SAI Symmetra PX 48/96/100/160 kW (PX2), los SAI Symmetra PX 20/40 kW (SY3P), Gutor (SXW, GVX) y Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU): AP9630/AP9630CH/AP9630J, AP9631/AP9631CH/AP9631J, AP9635/AP9635CH (NMC2 AOS V6.9.6 y anteriores), Sistema de Alimentación Ininterrumpida (SAI) monofásico usado NMC3 incluyendo Smart-UPS, Symmetra, y Galaxy 3500 con Network Management Card 3 (NMC3): AP9640/AP9640J, AP9641/AP9641J, AP9643/AP9643J (NMC3 AOS V1.4.2.1 y anteriores), Unidades de distribución de energía (PDU) de rack de APC que usan NMC2 2G PDU de rack medido/conmutado con NMC2 incorporado: AP84XX, AP86XX, AP88XX, AP89XX (NMC2 AOS V6.9.6 y anteriores), Unidades de distribución de energía (PDU) en rack de APC que usan PDU en rack medido/conmutado NMC3 2G con NMC3 integrado: APDU99xx (NMC3 AOS V1.4. 0 y anteriores), productos de distribución de energía trifásica de APC que usan NMC2 Galaxy RPP: GRPPIP2X84 (NMC2 AOS V6.9.6 y anteriores), tarjeta de administración de red 2 (NMC2) para InfraStruxure 150 kVA PDU con 84 polos (X84P): PDPB150G6F (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para InfraStruxure 40/60kVA PDU (XPDU) PD40G6FK1-M, PD40F6FK1-M, PD40L6FK1-M, PDRPPNX10 M,PD60G6FK1, PD60F6FK1, PD60L6FK1, PDRPPNX10, PD40E5EK20-M, PD40H5EK20-M (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para PDU Modular 150/175kVA (XRDP): PDPM150G6F, PDPM150L6F, PDPM175G6H (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de red 2 para 400 y 500 kVA (PMM): PMM400-ALA, PMM400-ALAX, PMM400-CUB, PMM500-ALA, PMM500-ALAX, PMM500-CUB (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de Red 2 para PDU Modular (XRDP2G): PDPM72F-5U, PDPM138H-5U, PDPM144F, PDPM138H-R, PDPM277H, PDPM288G6H (NMC2 AOS V6.9.6 y anteriores), Rack Automatic Transfer Switches (ATS) Embedded NMC2: Interruptores de transferencia automática en rack - AP44XX (ATS4G) (NMC2 AOS V6.9.6 y anteriores), Tarjeta de administración de red 2 (NMC2) Productos de refrigeración: InRow Cooling para las series ACRP5xx, ACRP1xx, ACRD5xx y ACRC5xx SKU (ACRP2G), InRow Cooling para las series ACRC10x SKU (RC10X2G), InRow Cooling para las series ACRD6xx y ACRC6xx SKU (ACRD2G), InRow Cooling Display para las series ACRD3xx (ACRC2G), InRow Cooling para las series ACSC1xx SKUs (SC2G), InRow Cooling para las series ACRD1xx y ACRD2xx (ACRPTK2G), Ecoflair IAEC25/50 Air Economizer Display (EB2G), Uniflair SP UCF0481I, UCF0341I (UNFLRSP), Uniflair LE DX Perimeter Cooling Display para SKUs: IDAV, IDEV, IDWV, IUAV, IUEV, IUWV, IXAV, IXEV, IXWV, LDAV, LDEV y LDWV (LEDX2G), Unidad de distribución de refrigerante: ACDA9xx (RDU) (NMC2 AOS V6.9.6 y anteriores), Unidad de Monitorización Ambiental con NMC2 integrado (NB250): NetBotz NBRK0250 (NMC2 AOS V6.9.6 y anteriores), y Tarjeta de administración de Red 2 (NMC2): AP9922 Sistema de administración de la batería (BM4) (NMC2 AOS V6.9.6 y anteriores)
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:schneider-electric:network_management_card_2_firmware:*:*:*:*:*:*:*:* | 6.9.8 (incluyendo) | |
| cpe:2.3:h:schneider-electric:galaxy_3500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:network_management_card_2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:single-phase_symmetra:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:smart-ups:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:schneider-electric:network_management_card_2_firmware:*:*:*:*:*:*:*:* | 6.9.6 (incluyendo) | |
| cpe:2.3:h:schneider-electric:ap9922_battery_management_system:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:apc_rack_power_distribution_units:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_g7x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_g9kchu:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_gcxsa:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_gfc:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_gvmsa:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_gvmts:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:schneider-electric:galaxy_gvxts:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página