Plattform
other
Komponente
everest
Behoben in
2026.02.0
CVE-2026-33009 describes a data race vulnerability discovered in everest-core, an EV charging software stack. This flaw can lead to undefined behavior (UB) and potential memory corruption, impacting the stability and security of charging operations. Versions prior to 2026.02.0 are affected, and a patch is available in version 2026.02.0.
Die CVE-2026-33009-Schwachstelle in Everest Core, einer Software-Stack für das Laden von Elektrofahrzeugen, weist eine Data-Race-Bedingung auf, die zu undefiniertem Verhalten von C++ (UB) und potenziell zu Speicherbeschädigung führt. Diese Schwachstelle wird ausgelöst, wenn eine MQTT-Nachricht an everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging gesendet wird, während der Ladegerät aktiv lädt. Das Fehlen geeigneter Sperrmechanismen für den gleichzeitigen Zugriff auf Charger::sharedcontext und internal_context ermöglicht es mehreren Threads, diese Ressourcen gleichzeitig zuzugreifen und zu modifizieren, was zu Dateninkonsistenzen und unvorhersehbarem Systemverhalten führen kann. Die Schwere der Schwachstelle ergibt sich aus ihrem Potenzial, die Integrität und Sicherheit der Ladeinfrastruktur für Elektrofahrzeuge zu gefährden.
Die Schwachstelle kann ausgenutzt werden, indem eine bösartige MQTT-Nachricht an den Pfad everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_charging gesendet wird, während ein Fahrzeug lädt. Ein Angreifer mit Netzwerzzugriff auf den Ort, an dem Everest Core ausgeführt wird, könnte diese Nachricht senden, um die Data-Race-Bedingung auszulösen und potenziell Speicher zu beschädigen, was zu einer Dienstverweigerung, Remote Code Execution oder einem Kompromittieren der Sicherheit des Elektrofahrzeugs führen könnte. Die Ausnutzung erfordert Netzwerzzugriff und Kenntnisse der MQTT-Nachrichtenstruktur von Everest Core.
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abhilfemaßnahme für CVE-2026-33009 ist ein Upgrade auf Version 2026.02.0 oder höher von Everest Core. Diese Version enthält einen Patch, der eine geeignete Sperrung für den Zugriff auf Charger::sharedcontext und internalcontext implementiert und so die Data-Race-Bedingung beseitigt. Betroffene Benutzer werden dringend gebeten, dieses Update so schnell wie möglich anzuwenden, um ihre Ladeinfrastruktur für Elektrofahrzeuge vor potenziellen Angriffen zu schützen. Darüber hinaus wird empfohlen, die Systemprotokolle auf ungewöhnliche Aktivitäten im Zusammenhang mit MQTT-Nachrichten auf dem angegebenen Pfad vor der Anwendung des Updates zu überwachen, um potenzielle Ausnutzungsversuche zu erkennen.
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine Data-Race-Bedingung tritt auf, wenn das Ergebnis eines Programms vom Zeitpunkt abhängt, in dem mehrere Threads oder Prozesse ausgeführt werden. Wenn die Reihenfolge unvorhersehbar ist, kann das Programm jedes Mal, wenn es ausgeführt wird, unterschiedlich funktionieren, was zu Fehlern und Schwachstellen führt.
C++ UB (Undefined Behavior) bedeutet, dass sich der Code in einem Zustand befindet, in dem der C++-Standard das Verhalten nicht definiert. Dies kann zu unvorhersehbaren Ergebnissen, Fehlern oder sogar Sicherheitsschwachstellen führen.
Wenn Sie eine Version von Everest Core vor 2026.02.0 verwenden, sind Sie wahrscheinlich betroffen. Überprüfen Sie Ihre installierte Version und aktualisieren Sie auf die neueste verfügbare Version.
Isolieren Sie das betroffene System vom Netzwerk, führen Sie eine forensische Bewertung durch, um den Umfang des Kompromisses zu ermitteln, und wenden Sie das Sicherheitspatch auf alle Instanzen von Everest Core an.
Es gibt keinen praktikablen Workaround, ohne auf Version 2026.02.0 oder höher zu aktualisieren. Der Versuch, vorübergehende Lösungen zu implementieren, kann komplex und fehleranfällig sein.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.