Plattform
linux
Komponente
chargepoint-home-flex
Behoben in
5.5.5
CVE-2026-4157 is a critical Remote Code Execution (RCE) vulnerability affecting ChargePoint Home Flex devices running versions 5.5.4.13 through 5.5.4.13. This flaw allows a network-adjacent attacker to execute arbitrary code without authentication, potentially leading to complete system compromise. The vulnerability stems from insufficient input validation within the OCPP message handling process, and a fix is available from ChargePoint.
CVE-2026-4157 betrifft ChargePoint Home Flex Geräte und ermöglicht Angreifern im selben Netzwerk, beliebigen Code ohne Authentifizierung auszuführen. Dieser Fehler liegt in der Verarbeitung von OCPP (Open Charge Point Protocol) Nachrichten und ist auf einen Mangel an angemessener Validierung von Benutzereingaben vor der Verwendung in Systemaufrufen zurückzuführen. Der CVSS-Wert von 7,5 deutet auf ein erhebliches Risiko hin, da ein erfolgreicher Angreifer potenziell das gesamte Gerät kompromittieren, sensible Daten abgreifen oder es als Sprungbrett für weitere Netzwerkangriffe nutzen kann. Das derzeitige Fehlen eines Fixes verschärft die Situation und erfordert eine sorgfältige Bewertung und alternative Abschwächungsstrategien.
Ein Angreifer mit Netzwerzzugriff auf den ChargePoint Home Flex kann diese Schwachstelle ausnutzen, indem er bösartige OCPP-Nachrichten sendet. Das Fehlen einer Eingabevalidierung ermöglicht die Code-Injektion, wodurch die Ausführung von beliebigem Code auf dem Gerät ermöglicht wird. Das Fehlen einer Authentifizierung vereinfacht den Ausnutzungsprozess erheblich und macht das Gerät von jedem Punkt im Netzwerk aus anfällig. Mögliche Auswirkungen sind die Ausführung von beliebigem Code, der Diebstahl von Daten und die potenzielle Übernahme des Geräts. Die Ausnutzung ist besonders in Wohnumgebungen besorgniserregend, in denen die Netzwerksicherheit möglicherweise weniger robust ist.
Organizations and individuals utilizing ChargePoint Home Flex devices, particularly those deployed in environments with limited network segmentation or exposed to untrusted networks, are at significant risk. Shared hosting environments where multiple users share a single ChargePoint Home Flex device are also particularly vulnerable.
• linux / server:
journalctl -u chargepoint-home-flex -f | grep -i "ocpp"• linux / server:
ps aux | grep chargepoint-home-flex• linux / server:
lsof -i :6443 # OCPP default portdisclosure
Exploit-Status
EPSS
0.25% (48% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts des Fehlens eines offiziellen Fixes für CVE-2026-4157 konzentriert sich die Abschwächung auf die Netzwerksegmentierung und die Beschränkung des Zugriffs auf das ChargePoint Home Flex Gerät. Es wird empfohlen, das Gerät in einem separaten VLAN zu isolieren und die Kommunikation auf wesentliche Dienste zu beschränken. Die Implementierung von Firewalls und strengen Zugriffregeln kann dazu beitragen, unbefugten Zugriff zu verhindern. Die Überwachung des Netzwerkverkehrs zu und vom Gerät auf verdächtige Aktivitäten ist entscheidend. Darüber hinaus minimiert die Aktualisierung der Firmware des Routers und anderer Netzwerkgeräte allgemeine Schwachstellen. Die Kontaktaufnahme mit ChargePoint für Updates und die Information über zukünftige Lösungen ist unerlässlich.
Actualice el dispositivo ChargePoint Home Flex a una versión corregida. Consulte la documentación del fabricante o su sitio web para obtener instrucciones específicas sobre cómo actualizar el firmware del dispositivo.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OCPP (Open Charge Point Protocol) ist ein Standardkommunikationsprotokoll, das für die Verwaltung von Ladestationen für Elektrofahrzeuge verwendet wird.
Das bedeutet, dass ein Angreifer keine Kennwörter oder Anmeldeinformationen benötigt, um die Schwachstelle auszunutzen.
Implementieren Sie die empfohlenen Abschwächungsmaßnahmen, wie z. B. Netzwerksegmentierung und Traffic-Überwachung. Kontaktieren Sie ChargePoint für Updates.
Derzeit gibt es keine offizielle Lösung. Die Abschwächungsmaßnahmen sind die einzigen verfügbaren Optionen.
Wenn Sie einen ChargePoint Home Flex haben, ist es wahrscheinlich anfällig, bis ChargePoint ein Update veröffentlicht.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.