Schneider Electric PowerChute Serial Shutdown 漏洞总结 漏洞概述 Schneider Electric 的 PowerChute™ Serial Shutdown 产品存在多个安全漏洞。该产品是用于桌面、服务器和工作站的 UPS 管理软件,支持系统优雅关机。由于缺乏适当的修复措施,攻击者可能利用输入验证不当导致操作中断或系统数据访问。 影响范围 受影响产品: PowerChute™ Serial Shutdown 受影响版本: 1.4 及更早版本 漏洞详情 CVE-2026-2399 CVSS v3.1 基础评分: 6.1 (Medium) CVSS v4.0 基础评分: 6.2 (Medium) 漏洞描述: CWE-22 Improper Limitation of a Pathname to a Restricted Directory (Path Traversal) 漏洞存在,攻击者可以通过修改 POST /REST/sleep 请求的有效载荷,导致关键文件被覆盖。 CVE-2026-2404 CVSS v3.1 基础评分: 5.3 (Medium) CVSS v4.0 基础评分: 6.9 (Medium) 漏洞描述: CWE-116 Improper Encoding or Escaping of Output 漏洞存在,攻击者可以通过修改 POST /security check request payload,导致日志注入和日志记录。 CVE-2026-2402 CVSS v3.1 基础评分: 5.3 (Medium) CVSS v4.0 基础评分: 6.9 (Medium) 漏洞描述: CWE-307 Improper Restriction of Excessive Authentication Attempts 漏洞存在,攻击者可以通过对多个端点进行任意数量的身份验证尝试,使用不同的凭据序列,从而获得对账户的访问权限。 修复方案 建议措施: 应用 Schneider Electric 提供的修复措施,以防止输入验证不当导致的安全问题。 具体步骤: 更新 PowerChute™ Serial Shutdown 至最新版本,确保所有已知漏洞得到修复。