प्लेटफ़ॉर्म
linux
घटक
chargepoint-home-flex
में ठीक किया गया
5.5.5
CVE-2026-4157 ChargePoint Home Flex डिवाइस में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को नेटवर्क के माध्यम से डिवाइस पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिसके परिणामस्वरूप रूट विशेषाधिकार प्राप्त हो सकते हैं। यह भेद्यता ChargePoint Home Flex के संस्करण 5.5.4.13–5.5.4.13 को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-4157 ChargePoint Home Flex उपकरणों को प्रभावित करता है, जिससे नेटवर्क-अभि접क हमलावर बिना प्रमाणीकरण के मनमाना कोड निष्पादित करने में सक्षम हो जाते हैं। यह भेद्यता OCPP (Open Charge Point Protocol) संदेशों के प्रसंस्करण में मौजूद है, और उपयोगकर्ता द्वारा प्रदान किए गए स्ट्रिंग का सिस्टम कॉल में उपयोग करने से पहले उचित इनपुट सत्यापन की कमी के कारण होती है। CVSS स्कोर 7.5 एक महत्वपूर्ण जोखिम का संकेत देता है, क्योंकि एक सफल हमलावर संभावित रूप से पूरे डिवाइस को समझौता कर सकता है, संवेदनशील डेटा तक पहुंच सकता है या आगे के नेटवर्क हमलों के लिए एक लॉन्चिंग पैड के रूप में इसका उपयोग कर सकता है। वर्तमान में फिक्स की अनुपस्थिति स्थिति को बढ़ा देती है, जिसके लिए सावधानीपूर्वक मूल्यांकन और वैकल्पिक शमन रणनीतियों की आवश्यकता होती है।
ChargePoint Home Flex डिवाइस तक नेटवर्क एक्सेस रखने वाला एक हमलावर इस भेद्यता का शोषण दुर्भावनापूर्ण OCPP संदेश भेजकर कर सकता है। इनपुट सत्यापन की कमी कमांड इंजेक्शन की अनुमति देती है, जिससे डिवाइस पर मनमाना कोड निष्पादित किया जा सकता है। प्रमाणीकरण की अनुपस्थिति शोषण प्रक्रिया को बहुत सरल बनाती है, जिससे नेटवर्क के किसी भी बिंदु से डिवाइस कमजोर हो जाता है। संभावित प्रभावों में मनमाना कोड निष्पादन, डेटा चोरी और डिवाइस का संभावित अधिग्रहण शामिल है। नेटवर्क सुरक्षा कम मजबूत होने के कारण आवासीय वातावरण में शोषण विशेष रूप से चिंताजनक है।
Organizations and individuals utilizing ChargePoint Home Flex devices, particularly those deployed in environments with limited network segmentation or exposed to untrusted networks, are at significant risk. Shared hosting environments where multiple users share a single ChargePoint Home Flex device are also particularly vulnerable.
• linux / server:
journalctl -u chargepoint-home-flex -f | grep -i "ocpp"• linux / server:
ps aux | grep chargepoint-home-flex• linux / server:
lsof -i :6443 # OCPP default portdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.25% (48% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-4157 के लिए कोई आधिकारिक फिक्स नहीं होने के कारण, शमन नेटवर्क विभाजन और ChargePoint Home Flex डिवाइस तक पहुंच को सीमित करने पर केंद्रित है। डिवाइस को अलग VLAN पर अलग करना, केवल आवश्यक सेवाओं तक संचार को प्रतिबंधित करना अनुशंसित है। फ़ायरवॉल और सख्त एक्सेस नियमों को लागू करने से अनधिकृत पहुंच को रोकने में मदद मिल सकती है। डिवाइस की ओर और से नेटवर्क ट्रैफ़िक की निगरानी संदिग्ध गतिविधि के लिए महत्वपूर्ण है। इसके अतिरिक्त, राउटर और अन्य नेटवर्क डिवाइस के फ़र्मवेयर को अपडेट रखने से सामान्य कमजोरियों को कम किया जा सकता है। ChargePoint से संपर्क करके अपडेट प्राप्त करना और भविष्य के किसी भी समाधान के बारे में जानकारी रखना आवश्यक है।
Actualice el dispositivo ChargePoint Home Flex a una versión corregida. Consulte la documentación del fabricante o su sitio web para obtener instrucciones específicas sobre cómo actualizar el firmware del dispositivo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OCPP (Open Charge Point Protocol) एक मानक संचार प्रोटोकॉल है जिसका उपयोग इलेक्ट्रिक वाहनों के चार्जिंग स्टेशनों को प्रबंधित करने के लिए किया जाता है।
इसका मतलब है कि हमलावर को भेद्यता का शोषण करने के लिए पासवर्ड या क्रेडेंशियल की आवश्यकता नहीं है।
अनुशंसित शमन उपायों को लागू करें, जैसे कि नेटवर्क विभाजन और ट्रैफ़िक निगरानी। अपडेट के लिए ChargePoint से संपर्क करें।
वर्तमान में कोई आधिकारिक समाधान नहीं है। शमन उपाय एकमात्र उपलब्ध विकल्प हैं।
यदि आपके पास ChargePoint Home Flex है, तो जब तक ChargePoint एक अपडेट जारी नहीं करता है, तब तक यह संभवतः कमजोर है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।