प्लेटफ़ॉर्म
other
घटक
everest
में ठीक किया गया
2026.02.0
CVE-2026-33009, EVerest EV चार्जिंग सॉफ्टवेयर में एक डेटा रेस की भेद्यता है, जिससे C++ UB (संभावित मेमोरी करप्शन) हो सकता है। यह MQTT everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging संदेश द्वारा ट्रिगर होता है। यह भेद्यता Charger::sharedcontext / internal_context को बिना लॉक के एक्सेस करने का कारण बनती है। यह भेद्यता <=2026.02.0 वर्जन को प्रभावित करती है और वर्जन 2026.02.0 में ठीक कर दी गई है।
Everest Core में CVE-2026-33009 भेद्यता एक डेटा रेस कंडीशन प्रस्तुत करती है, जिससे C++ अपरिभाषित व्यवहार (UB) हो सकता है, जिससे संभावित रूप से मेमोरी करप्शन हो सकता है। यह भेद्यता तब ट्रिगर होती है जब चार्जर सक्रिय रूप से चार्ज कर रहा हो तो everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging पर एक MQTT संदेश भेजा जाता है। Charger::sharedcontext और internal_context तक समवर्ती पहुंच के लिए उचित लॉकिंग तंत्र की कमी के कारण, कई थ्रेड इन संसाधनों तक एक साथ पहुंच और संशोधित कर सकते हैं, जिससे डेटा असंगतता और सिस्टम के अप्रत्याशित व्यवहार हो सकता है। इस भेद्यता की गंभीरता इसके संभावित कारण से उत्पन्न होती है जिससे इलेक्ट्रिक वाहन चार्जिंग इंफ्रास्ट्रक्चर की अखंडता और सुरक्षा से समझौता हो सकता है।
इस भेद्यता का शोषण everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_charging पथ पर एक दुर्भावनापूर्ण MQTT संदेश भेजकर किया जा सकता है जबकि एक वाहन चार्ज हो रहा है। जहां Everest Core चल रहा है, वहां नेटवर्क एक्सेस रखने वाला एक हमलावर इस संदेश को डेटा रेस को ट्रिगर करने और संभावित रूप से मेमोरी को दूषित करने के लिए भेज सकता है, जिससे इनकार-ऑफ-सर्विस, रिमोट कोड निष्पादन या इलेक्ट्रिक वाहन की सुरक्षा से समझौता हो सकता है। शोषण के लिए नेटवर्क एक्सेस और Everest Core के MQTT संदेश संरचना का ज्ञान आवश्यक है।
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33009 के लिए अनुशंसित शमन Everest Core के संस्करण 2026.02.0 या बाद में अपग्रेड करना है। इस संस्करण में एक पैच शामिल है जो Charger::sharedcontext और internalcontext तक पहुंच के लिए उचित लॉकिंग लागू करता है, जिससे डेटा रेस कंडीशन समाप्त हो जाती है। प्रभावित उपयोगकर्ताओं को संभावित शोषण से अपने इलेक्ट्रिक वाहन चार्जिंग सिस्टम की रक्षा करने के लिए जल्द से जल्द इस अपडेट को लागू करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, अपडेट लागू करने से पहले निर्दिष्ट पथ पर MQTT संदेशों से संबंधित सिस्टम लॉग में किसी भी असामान्य गतिविधि की निगरानी करने की सिफारिश की जाती है ताकि संभावित शोषण प्रयासों का पता लगाया जा सके।
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक डेटा रेस कंडीशन तब होती है जब किसी प्रोग्राम का परिणाम कई थ्रेड या प्रक्रियाओं के निष्पादन के क्रम पर निर्भर करता है। यदि क्रम अप्रत्याशित है, तो प्रोग्राम प्रत्येक बार निष्पादित होने पर अलग तरह से व्यवहार कर सकता है, जिससे त्रुटियां और कमजोरियां हो सकती हैं।
C++ UB (अपरिभाषित व्यवहार) का मतलब है कि कोड ऐसी स्थिति में है जहां C++ मानक व्यवहार को परिभाषित नहीं करता है। इससे अप्रत्याशित परिणाम, त्रुटियां या सुरक्षा कमजोरियां हो सकती हैं।
यदि आप Everest Core के 2026.02.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपने स्थापित संस्करण की जांच करें और नवीनतम उपलब्ध संस्करण में अपग्रेड करें।
प्रभावित सिस्टम को नेटवर्क से अलग करें, समझौते की सीमा निर्धारित करने के लिए एक फोरेंसिक मूल्यांकन करें और Everest Core के सभी उदाहरणों पर सुरक्षा अपडेट लागू करें।
2026.02.0 या बाद के संस्करण में अपग्रेड किए बिना कोई व्यावहारिक वर्कअराउंड नहीं है। अस्थायी समाधानों को लागू करने का प्रयास जटिल और त्रुटि-प्रवण हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।