正文

schneider-electric evlink_city_evc1s22p4_firmware 服务端请求伪造(ssrf)

admin
admin V管理员 /0 评论 /14 阅读
0417
此篇文章发布距今已超过1106天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-22821

利用情况

暂无

补丁情况

N/A

披露时间

2022-01-29
漏洞描述
A CWE-918 Server-Side Request Forgery (SSRF) vulnerability exists that could cause the station web server to forward requests to unintended network targets when crafted malicious parameters are submitted to the charging station web server. Affected Products: EVlink City EVC1S22P4 / EVC1S7P4 (All versions prior to R8 V3.4.0.2 ), EVlink Parking EVW2 / EVF2 / EVP2PE (All versions prior to R8 V3.4.0.2), and EVlink Smart Wallbox EVB1A (All versions prior to R8 V3.4.0.2)
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 schneider-electric evlink_city_evc1s22p4_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
系统 schneider-electric evlink_city_evc1s7p4_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
系统 schneider-electric evlink_parking_evf2_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
系统 schneider-electric evlink_parking_evp2pe_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
系统 schneider-electric evlink_parking_evw2_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
系统 schneider-electric evlink_smart_wallbox_evb1a_firmware * Up to
(excluding)
3.4.0.2
运行在以下环境
硬件 schneider-electric evlink_city_evc1s22p4 - -
运行在以下环境
硬件 schneider-electric evlink_city_evc1s7p4 - -
运行在以下环境
硬件 schneider-electric evlink_parking_evf2 - -
运行在以下环境
硬件 schneider-electric evlink_parking_evp2pe - -
运行在以下环境
硬件 schneider-electric evlink_parking_evw2 - -
运行在以下环境
硬件 schneider-electric evlink_smart_wallbox_evb1a - -
CVSS3评分 8.6
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N CWE-ID 漏洞类型 CWE-918 服务端请求伪造(SSRF)