Schneider Electric PowerChute Serial Shutdown < 1.5 多個弱點 (SEVD-2026-104-01)
medium Nessus Plugin ID 306551
語言:
概要
遠端主機上安裝的 Schneider Electric PowerChute Serial Shutdown 受到多個弱點影響。說明
遠端主機上安裝的 Schneider Electric PowerChute Serial Shutdown 版本比 1.5舊。因此,該主機會受到多個弱點影響,包括:- 不當的路徑名稱限制為受限制目錄弱點存在可導致 Web 系統管理員使用者變更 POST /REST/upssleep 要求承載時以文字資料覆寫重要檔案。
(CVE-2026-2399)
- 存在一個不當編碼或輸出逸出弱點當攻擊者更改 POST /j_security check 要求承載時可造成記錄插入和偽造的記錄項目。 (CVE-2026-2404)
- 存在一個不當限製過度驗證嘗試弱點其可允許攻擊者對多個端點的要求序列使用不同的認證嘗試任意次數的驗證嘗試從而取得使用者帳戶的存取權。 (CVE-2026-2402)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Schneider Electric PowerChute Serial Shutdown 1.5 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 306551
檔案名稱: schneider_electric_powerchute_serial_shutdown_1_5.nasl
版本: 1.2
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/4/15
已更新: 2026/4/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.1
時間性分數: 5.3
媒介: CVSS2#AV:A/AC:L/Au:S/C:N/I:C/A:C
CVSS 評分資料來源: CVE-2026-2399
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.3
媒介: CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
風險因素: Medium
Base Score: 6.9
Threat Score: 2.7
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
CVSS 評分資料來源: CVE-2026-2404
弱點資訊
CPE: x-cpe:/a:schneider-electric:powerchute_serial_shutdown
必要的 KB 項目: installed_sw/Schneider Electric PowerChute Serial Shutdown
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/4/14
弱點發布日期: 2026/4/14
參考資訊
CVE: CVE-2026-2399, CVE-2026-2400, CVE-2026-2401, CVE-2026-2402, CVE-2026-2403, CVE-2026-2404, CVE-2026-2405