Software Manajemen UPS Schneider Electric Punya 7 Celah, Data Rahasia Bisa Terekspos

CLB.my.id - Schneider Electric mengungkap tujuh kerentanan pada perangkat lunak PowerChute Serial Shutdown yang digunakan untuk mengelola sistem uninterruptible power supply (UPS). Kerentanan ini mencakup path traversal, injeksi log, brute force, dan denial-of-service yang semuanya mempengaruhi versi 1.4 dan yang lebih lama.

PowerChute Serial Shutdown adalah perangkat lunak manajemen UPS yang memungkinkan sistem shutdown secara graceful dan kemampuan manajemen energi untuk desktop, server, dan workstation. Perangkat lunak ini banyak digunakan di lingkungan data center dan kantor untuk memastikan keamanan data saat terjadi gangguan listrik.

Kerentanan yang paling kritis adalah CVE-2026-2399, yaitu celah path traversal yang dapat menyebabkan file penting ditimpa dengan data teks. Celah ini dieksploitasi ketika pengguna Web Admin mengubah payload permintaan POST ke endpoint REST/upssleep.

Detail Tujuh Kerentanan

CVE-2026-2399 adalah kerentanan CWE-22 (Improper Limitation of a Pathname to a Restricted Directory) yang memungkinkan penyerang menimpa file kritis. Dengan memanipulasi payload pada endpoint REST/upssleep, penyerang yang memiliki akses Web Admin dapat menulis data teks ke lokasi file yang seharusnya dilindungi.

CVE-2026-2404 adalah celah injeksi log (CWE-116) yang memungkinkan penyisipan entri log palsu atau menyesatkan. Penyerang dapat memanipulasi payload permintaan POST ke endpoint j_security check untuk menyuntikkan karakter arbitrer ke log sistem. Ini merusak integritas jejak audit dan dapat membingungkan upaya respons insiden.

CVE-2026-2402 adalah kerentanan brute force (CWE-307) yang memungkinkan penyerang mendapatkan akses ke akun pengguna dengan melakukan percobaan autentikasi dalam jumlah besar dengan kredensial berbeda pada serangkaian permintaan ke beberapa endpoint. Kurangnya pembatasan percobaan autentikasi berlebihan membuka celah lebar untuk serangan credential stuffing.

CVE-2026-2400 adalah celah CRLF Injection (CWE-93) yang dapat menyebabkan kredensial pengguna aplikasi di-reset ketika Web Admin memanipulasi payload permintaan POST ke endpoint setPCBEDesc. Celah ini berpotensi mengunci pengguna sah dari sistem mereka sendiri.

CVE-2026-2401 adalah kerentanan penyisipan informasi sensitif ke file log (CWE-532) yang mengekspos informasi rahasia ketika Web Admin mengeksekusi file berbahaya yang disediakan penyerang.

CVE-2026-2405 adalah celah denial-of-service (CWE-400) yang dapat menyebabkan pembuatan file zip troubleshooting secara berlebihan dan menghentikan layanan ketika Web Admin membanjiri sistem dengan permintaan POST ke endpoint helpabout.

Dampak untuk Data Center dan Server

Kombinasi kerentanan ini memberikan penyerang beberapa jalur untuk mengganggu operasi UPS dan mengekspos data sensitif. Dalam lingkungan data center di mana PowerChute mengelola beberapa unit UPS secara bersamaan, eksploitasi celah path traversal dan denial-of-service dapat mengganggu proses shutdown yang aman saat terjadi gangguan listrik.

Injeksi log menjadi masalah khusus untuk organisasi yang bergantung pada audit trail untuk kepatuhan regulasi. Entitas yang terekam dalam log palsu dapat menutupi aktivitas berbahaya nyata atau menyesatkan tim keamanan selama investigasi insiden.

Brute force pada autentikasi juga mengkhawatirkan karena PowerChute sering ditempatkan di jaringan manajemen yang mungkin memiliki keamanan perimeter lebih lemah dibandingkan jaringan produksi utama. Jika penyerang berhasil mendapatkan akses, mereka bisa mematikan UPS secara paksa dan menyebabkan kehilangan data serta kerusakan perangkat keras.

Patch Sudah Tersedia

Schneider Electric telah merilis versi 1.5 dari PowerChute Serial Shutdown yang mengatasi semua tujuh kerentanan. Perusahaan merekomendasikan semua pengguna untuk segera memperbarui ke versi terbaru.

Bagi organisasi yang tidak dapat segera melakukan upgrade, langkah mitigasi sementara meliputi membatasi akses jaringan ke antarmuka manajemen PowerChute sehingga hanya administrator tepercaya yang dapat mengaksesnya, serta meningkatkan pemantauan terhadap entri log yang tidak normal atau mencurigakan.

Notifikasi keamanan resmi dari Schneider Electric tersedia dengan nomor dokumen SEVD-2026-104-01. Pengguna disarankan untuk meninjau panduan vendor secara lengkap dan memastikan semua unit PowerChute di lingkungan mereka diperbarui secara konsisten.***