CVE-2026-2400CVE-2026-2400 是 Schneider Electric 产品中的一个 CRLF 注入漏洞(CWE-93)。该漏洞源于应用程序未能正确中和 CRLF(回车换行)序列。当具有低权限的 Web 管理员用户修改 POST /setPCBEDesc 请求的负载时,攻击者可利用此漏洞导致应用程序用户凭据被重置,从而影响用户服务的可用性。
该漏洞属于 CRLF 注入(CWE-93),其根本原因在于应用程序在处理用户输入数据时,未能对特殊的控制字符(即回车符 CR %0d 和换行符 LF %0a)进行有效的过滤或转义处理。在受影响的 Schneider Electric 产品中,存在一个特定的 API 接口 /setPCBEDesc,该接口设计用于接收 POST 请求以更新 PCBE(PowerChute Business Edition)相关的描述信息。由于该接口对输入参数缺乏严格的安全校验机制,具有低权限(Web Admin)的攻击者可以在发送给该接口的 payload 中恶意注入 CRLF 字符序列。利用这种注入方式,攻击者能够干扰服务器端对 HTTP 请求或响应的正常解析过程,进而篡改数据流或触发非预期的后台业务逻辑。根据漏洞描述,成功利用此漏洞将导致应用程序用户的凭据被强制重置,这不仅会造成合法用户无法正常登录服务(可用性受损),还可能被用于进一步的社会工程学攻击。