Plateforme
linux
Composant
chargepoint-home-flex
Corrigé dans
5.5.5
CVE-2026-4157 is a critical Remote Code Execution (RCE) vulnerability affecting ChargePoint Home Flex devices running versions 5.5.4.13 through 5.5.4.13. This flaw allows a network-adjacent attacker to execute arbitrary code without authentication, potentially leading to complete system compromise. The vulnerability stems from insufficient input validation within the OCPP message handling process, and a fix is available from ChargePoint.
La vulnérabilité CVE-2026-4157 affecte les appareils ChargePoint Home Flex, permettant à des attaquants situés sur le même réseau d'exécuter du code arbitraire sans authentification. Cette faille réside dans le traitement des messages OCPP (Open Charge Point Protocol) et est due à un manque de validation appropriée des données fournies par l'utilisateur avant de les utiliser dans des appels système. Le score CVSS de 7,5 indique un risque important, car un attaquant peut potentiellement compromettre l'ensemble de l'appareil, accéder à des données sensibles ou l'utiliser comme point d'appui pour d'autres attaques réseau. L'absence de correctif disponible actuellement aggrave la situation, nécessitant une évaluation minutieuse et des stratégies d'atténuation alternatives.
Un attaquant ayant un accès réseau au ChargePoint Home Flex peut exploiter cette vulnérabilité en envoyant des messages OCPP malveillants. Le manque de validation des entrées permet l'injection de commandes, permettant l'exécution de code arbitraire sur l'appareil. L'absence d'authentification simplifie considérablement le processus d'exploitation, rendant l'appareil vulnérable depuis n'importe quel point du réseau. Les impacts potentiels incluent l'exécution de code arbitraire, le vol de données et la prise de contrôle potentielle de l'appareil. L'exploitation est particulièrement préoccupante dans les environnements résidentiels où la sécurité du réseau peut être moins robuste.
Organizations and individuals utilizing ChargePoint Home Flex devices, particularly those deployed in environments with limited network segmentation or exposed to untrusted networks, are at significant risk. Shared hosting environments where multiple users share a single ChargePoint Home Flex device are also particularly vulnerable.
• linux / server:
journalctl -u chargepoint-home-flex -f | grep -i "ocpp"• linux / server:
ps aux | grep chargepoint-home-flex• linux / server:
lsof -i :6443 # OCPP default portdisclosure
Statut de l'Exploit
EPSS
0.25% (percentile 48%)
CISA SSVC
Vecteur CVSS
Étant donné l'absence de correctif officiel pour CVE-2026-4157, l'atténuation se concentre sur la segmentation du réseau et la limitation de l'accès à l'appareil ChargePoint Home Flex. Il est recommandé d'isoler l'appareil sur un VLAN distinct, en restreignant la communication aux services essentiels. La mise en œuvre de pare-feu et de règles d'accès strictes peut aider à prévenir les accès non autorisés. La surveillance du trafic réseau vers et depuis l'appareil à la recherche d'activités suspectes est essentielle. De plus, maintenir le micrologiciel du routeur et des autres appareils réseau à jour minimise les vulnérabilités générales. Contacter ChargePoint pour obtenir des mises à jour et se tenir informé de toute solution future est essentiel.
Actualice el dispositivo ChargePoint Home Flex a una versión corregida. Consulte la documentación del fabricante o su sitio web para obtener instrucciones específicas sobre cómo actualizar el firmware del dispositivo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OCPP (Open Charge Point Protocol) est un protocole de communication standard utilisé pour gérer les stations de recharge de véhicules électriques.
Cela signifie qu'un attaquant n'a pas besoin de mot de passe ou d'identifiants pour exploiter la vulnérabilité.
Mettez en œuvre les mesures d'atténuation recommandées, telles que la segmentation du réseau et la surveillance du trafic. Contactez ChargePoint pour obtenir des mises à jour.
Actuellement, il n'y a pas de solution officielle. Les mesures d'atténuation sont les seules options disponibles.
Si vous avez un ChargePoint Home Flex, il est probablement vulnérable jusqu'à ce que ChargePoint publie une mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.