プラットフォーム
other
コンポーネント
everest
修正版
2026.02.0
EVerestはEV充電ソフトウェアスタックです。CVE-2026-33009は、2026.02.0より前のバージョンに存在するデータ競合の脆弱性で、C++の未定義動作(メモリ破壊の可能性)を引き起こします。MQTTメッセージeverestexternal/nodered/{connector}/cmd/switchthreephaseswhilechargingがトリガーとなり、Charger::sharedcontext / internal_contextがロックなしで同時にアクセスされます。この問題はバージョン2026.02.0で修正されています。
Everest CoreのCVE-2026-33009脆弱性は、データレース条件を引き起こし、C++の未定義動作(UB)につながる可能性があります。その結果、メモリが破損する可能性があります。この脆弱性は、充電器がアクティブに充電している間に、everestexternal/nodered/{connector}/cmd/switchthreephaseswhilechargingへのMQTTメッセージによってトリガーされます。Charger::sharedcontextおよびinternal_contextへの同時アクセスを保護する適切なロックメカニズムがないため、複数のスレッドがこれらのリソースに同時にアクセスして変更することができ、データの一貫性の喪失やシステムの予測不能な動作につながる可能性があります。この脆弱性の重大度は、EV充電インフラストラクチャの整合性とセキュリティを損なう可能性があることに由来します。
この脆弱性は、車両が充電中の間に、everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_chargingパスに悪意のあるMQTTメッセージを送信することで悪用できます。Everest Coreが実行されているネットワークにアクセスできる攻撃者は、このメッセージを送信してデータレースをトリガーし、メモリを破損させ、サービス拒否、リモートコード実行、またはEVのセキュリティを侵害する可能性があります。この悪用には、ネットワークアクセスとEverest CoreのMQTTメッセージ構造に関する知識が必要です。
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
CVE-2026-33009の軽減策として推奨されるのは、Everest Coreをバージョン2026.02.0以降にアップグレードすることです。このバージョンには、Charger::sharedcontextおよびinternalcontextへのアクセスに適切なロックを実装するパッチが含まれており、データレース条件を解消します。影響を受けるユーザーは、潜在的な攻撃からEV充電システムを保護するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、アップデートを適用する前に、指定されたパス上のMQTTメッセージに関連するシステムログに異常なアクティビティがないか監視することが推奨されます。
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
脆弱性分析と重要アラートをメールでお届けします。
データレース条件は、プログラムの結果が複数のスレッドまたはプロセスが実行される順序に依存する場合に発生します。順序が予測不可能である場合、プログラムは実行ごとに異なる動作をする可能性があり、エラーや脆弱性につながる可能性があります。
C++ UB(Undefined Behavior)とは、コードがC++標準で動作が定義されていない状態にあることを意味します。これにより、予測不能な結果、エラー、またはセキュリティ上の脆弱性が生じる可能性があります。
Everest Coreのバージョンが2026.02.0より前の場合は、影響を受けている可能性が高いです。インストールされているバージョンを確認し、最新の利用可能なバージョンにアップグレードしてください。
影響を受けたシステムをネットワークから隔離し、侵害の範囲を判断するためにフォレンジック評価を実施し、Everest Coreのすべてのインスタンスにセキュリティアップデートを適用してください。
バージョン2026.02.0以降にアップグレードしないと、実行可能な回避策はありません。一時的なソリューションを実装しようとすると、複雑でエラーが発生しやすくなる可能性があります。
CVSS ベクトル