CVE-2022-22812

Опубликовано: 09 фев. 2022

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

A CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could cause a web session compromise when an attacker injects and then executes arbitrary malicious JavaScript code inside the target browser. Affected Product: spaceLYnk (V2.6.2 and prior), Wiser for KNX (formerly homeLYnk) (V2.6.2 and prior), fellerLYnk (V2.6.2 and prior)

Ссылки

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-04
Patch
Vendor Advisory
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-04
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:schneider-electric:spacelynk_firmware:*:*:*:*:*:*:*:*

Версия до 2.6.2 (включая)

cpe:2.3:h:schneider-electric:spacelynk:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:schneider-electric:wiser_for_knx_firmware:*:*:*:*:*:*:*:*

Версия до 2.6.2 (включая)

cpe:2.3:h:schneider-electric:wiser_for_knx:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:schneider-electric:fellerlynk_firmware:*:*:*:*:*:*:*:*

Версия до 2.6.2 (включая)

cpe:2.3:h:schneider-electric:fellerlynk:-:*:*:*:*:*:*:*

EPSS

Процентиль: 66%

0.00526

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-f5p7-gfff-wrgp

github

почти 4 года назад

BDU:2023-03399

CVSS3: 9.3

fstec

почти 4 года назад

Уязвимость микропрограммного обеспечения логических контроллеров для управления зданиями и сооружениями Schneider Electric spaceLYnk, Wiser for KNX (ранее – homeLYnk) FellerLYnk, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 66%

0.00526

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79