近日，嘉诚安全监测到Schneider Electric & APC UPS多个安全漏洞风险通告，漏洞编号：CNNVD-202304-1438(CVE-2023-29411)、CNNVD-202304-1437(CVE-2023-29412)、CNNVD-202304-1436(CVE-2023-29413)。

Schneider Electric Easy UPS Online Monitoring Software是法国施耐德电气（Schneider Electric）公司的一款电源监控软件。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

1.CNNVD-202304-1438（CVE-2023-29411）

Schneider Electric & APC Easy UPS验证缺失漏洞，经研判，该漏洞为高危漏洞。攻击者可利用该漏洞更改管理员凭据并执行任意代码，而无需在 Java RMI 接口上进行身份验证。

2.CNNVD-202304-1437（CVE-2023-29412）

Schneider Electric & APC Easy UPS代码执行漏洞，经研判，该漏洞为高危漏洞。当通过 Java RMI 接口操纵内部方法时，可能导致远程代码执行。

3.CNNVD-202304-1436（CVE-2023-29413）

Schneider Electric & APC Easy UPS验证缺失漏洞，经研判，该漏洞为高危漏洞。当未经身份验证的用户访问 Schneider UPS Monitor 服务时可能导致拒绝服务。

受影响版本：

APC Easy UPS Online Monitoring Software 版本：<= V2.5-GA-01-22320

Schneider Electric Easy UPS Online Monitoring Software版本：<= V2.5-GS-01-22320

通用修复建议：

根据影响版本中的信息，建议相关用户尽快更新至安全版本，即Schneider Electric / APC Easy UPS Online Monitoring Software 版本：>= V2.5-GS-01-23036，下载链接请参考：

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf