schneider-electric evlink_city_evc1s22p4_firmware 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2021-22706

利用情况

暂无

补丁情况

N/A

披露时间

2021-07-21

漏洞描述

A CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists in EVlink City (EVC1S22P4 / EVC1S7P4 all versions prior to R8 V3.4.0.1), EVlink Parking (EVW2 / EVF2 / EV.2 all versions prior to R8 V3.4.0.1), and EVlink Smart Wallbox (EVB1A all versions prior to R8 V3.4.0.1 ) that could allow an attacker to impersonate the user who manages the charging station or carry out actions on their behalf when crafted malicious parameters are submitted to the charging station web server.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-06

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	schneider-electric	evlink_city_evc1s22p4_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	系统	schneider-electric	evlink_city_evc1s7p4_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	系统	schneider-electric	evlink_parking_ev.2_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	系统	schneider-electric	evlink_parking_evf2_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	系统	schneider-electric	evlink_parking_evw2_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	系统	schneider-electric	evlink_smart_wallbox_evb1a_firmware	*		Up to (excluding) r8_v3.4.0.1
	运行在以下环境
	硬件	schneider-electric	evlink_city_evc1s22p4	-	-
	运行在以下环境
	硬件	schneider-electric	evlink_city_evc1s7p4	-	-
	运行在以下环境
	硬件	schneider-electric	evlink_parking_ev.2	-	-
	运行在以下环境
	硬件	schneider-electric	evlink_parking_evf2	-	-
	运行在以下环境
	硬件	schneider-electric	evlink_parking_evw2	-	-
	运行在以下环境
	硬件	schneider-electric	evlink_smart_wallbox_evb1a	-	-

CVSS3评分 6.1

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 需要
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com