Plateforme
other
Composant
everest
Corrigé dans
2026.02.0
CVE-2026-33009 est une vulnérabilité de type course de données affectant everest-core. Elle peut mener à une corruption mémoire potentielle en raison d'un accès concurrentiel non protégé. Les versions affectées sont celles antérieures à la version 2026.02.0. La version 2026.02.0 contient un correctif pour cette vulnérabilité.
La vulnérabilité CVE-2026-33009 dans Everest Core, une pile logicielle de recharge de VE, présente une condition de course de données conduisant à un comportement indéfini de C++ (UB), avec un risque potentiel de corruption de mémoire. Cette vulnérabilité est déclenchée par un message MQTT envoyé à everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging pendant que le chargeur est activement en charge. L'absence de mécanismes de verrouillage appropriés pour l'accès concurrent à Charger::sharedcontext et internal_context permet à plusieurs threads d'accéder et de modifier ces ressources simultanément, ce qui peut entraîner une incohérence des données et un comportement imprévisible du système. La gravité de cette vulnérabilité découle de son potentiel à compromettre l'intégrité et la sécurité de l'infrastructure de recharge des véhicules électriques.
La vulnérabilité peut être exploitée en envoyant un message MQTT malveillant au chemin everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_charging pendant qu'un véhicule est en charge. Un attaquant ayant un accès réseau à l'endroit où Everest Core est en cours d'exécution pourrait envoyer ce message pour déclencher la condition de course et potentiellement corrompre la mémoire, ce qui entraînerait un déni de service, une exécution de code à distance ou compromettrait la sécurité du VE. L'exploitation nécessite un accès réseau et une connaissance de la structure des messages MQTT d'Everest Core.
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
L'atténuation recommandée pour CVE-2026-33009 consiste à mettre à niveau vers la version 2026.02.0 ou ultérieure d'Everest Core. Cette version inclut un correctif qui implémente un verrouillage approprié pour l'accès à Charger::sharedcontext et internalcontext, éliminant ainsi la condition de course de données. Les utilisateurs concernés sont fortement invités à appliquer cette mise à jour dès que possible afin de protéger leurs systèmes de recharge de VE contre d'éventuelles exploitations. De plus, il est recommandé de surveiller les journaux du système à la recherche de toute activité inhabituelle liée aux messages MQTT sur le chemin spécifié avant d'appliquer la mise à jour afin de détecter d'éventuelles tentatives d'exploitation.
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une condition de course de données se produit lorsque le résultat d'un programme dépend de l'ordre dans lequel plusieurs threads ou processus s'exécutent. Si l'ordre est imprévisible, le programme peut se comporter différemment à chaque fois qu'il est exécuté, ce qui entraîne des erreurs et des vulnérabilités.
C++ UB (Undefined Behavior) signifie que le code se trouve dans un état où la norme C++ ne définit pas le comportement. Cela peut entraîner des résultats imprévisibles, des erreurs ou même des vulnérabilités de sécurité.
Si vous utilisez une version d'Everest Core antérieure à 2026.02.0, vous êtes probablement affecté. Vérifiez votre version installée et mettez à niveau vers la dernière version disponible.
Isolez le système affecté du réseau, effectuez une évaluation médico-légale pour déterminer l'étendue du compromis et appliquez la mise à jour de sécurité à toutes les instances d'Everest Core.
Il n'existe aucun contournement viable sans mettre à niveau vers la version 2026.02.0 ou ultérieure. Tenter de mettre en œuvre des solutions temporaires pourrait être complexe et source d'erreurs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.