← volver
CVE-2022-22807

CVE-2022-22807

EPSS 0.9%CWE-1021
En resumen

El sistema EcoStruxure EV Charging Expert puede ser engañado para permitir que atacantes modifiquen configuraciones o cuentas de usuario al incrustar su interfaz web en marcos ocultos. Un atacante podría engañar a los usuarios para que realicen cambios no deseados en el sistema sin saberlo.

Detalle técnico

Una vulnerabilidad de clickjacking (CWE-1021) permite que atacantes superpongan o incrusten la interfaz web vulnerable en iframes sin restricciones adecuadas de capas de interfaz. Al engañar a los usuarios para que interactúen con estas páginas incrustadas, los atacantes pueden realizar modificaciones no autorizadas en configuraciones del producto y datos de cuentas de usuario. La vulnerabilidad afecta múltiples versiones de hardware anteriores a SP8 (Versión 01) V4.0.0.13.

Resumen generado y traducido por IA a partir de la descripción oficial.
A CWE-1021 Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause unintended modifications of the product settings or user accounts when deceiving the user to use the web interface rendered within iframes. Affected Product: EcoStruxure EV Charging Expert (formerly known as EVlink Load Management System): (HMIBSCEA53D1EDB, HMIBSCEA53D1EDS, HMIBSCEA53D1EDM, HMIBSCEA53D1EDL, HMIBSCEA53D1ESS, HMIBSCEA53D1ESM, HMIBSCEA53D1EML) (All Versions prior to SP8 (Version 01) V4.0.0.13)
Productos afectados
n/a · EcoStruxure EV Charging Expert (formerly known as EVlink Load Management System): (HMIBSCEA53D1EDB, HMIBSCEA53D1EDS, HMIBSCEA53D1EDM, HMIBSCEA53D1EDL, HMIBSCEA53D1ESS, HMIBSCEA53D1ESM, HMIBSCEA53D1EML) (All Versions prior to SP8 (Version 01) V4.0.0.13)

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-02