Platform
other
Component
everest
Opgelost in
2026.02.0
CVE-2026-33009 is een data race in EVerest, een EV-laadsoftwarestack, die kan leiden tot C++ undefined behavior en potentiële geheugenbeschadiging. Dit wordt veroorzaakt door een MQTT-bericht naar everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging, waardoor Charger::sharedcontext / internal_context gelijktijdig worden benaderd zonder lock. Versies vóór 2026.02.0 zijn kwetsbaar. Versie 2026.02.0 bevat een patch.
CVE-2026-33009 in Everest Core, een software stack voor het opladen van EV's, vertoont een data race conditie die leidt tot C++ Undefined Behavior (UB), met mogelijk geheugencorruptie. Deze kwetsbaarheid wordt geactiveerd door een MQTT-bericht dat wordt verzonden naar everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging terwijl de lader actief aan het opladen is. Het ontbreken van geschikte vergrendelingsmechanismen voor gelijktijdige toegang tot Charger::sharedcontext en internal_context stelt meerdere threads in staat om deze resources tegelijkertijd te benaderen en te wijzigen, wat mogelijk leidt tot data-inconsistentie en onvoorspelbaar systeemgedrag. De ernst komt voort uit het potentieel om de integriteit en beveiliging van de EV-laadinfrastructuur in gevaar te brengen.
De kwetsbaarheid kan worden misbruikt door een kwaadaardig MQTT-bericht te verzenden naar de everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_charging pad terwijl een voertuig aan het opladen is. Een aanvaller met netwerktoegang naar waar Everest Core wordt uitgevoerd, kan dit bericht verzenden om de data race te activeren en mogelijk geheugen te beschadigen, wat kan leiden tot een denial-of-service, remote code execution of het in gevaar brengen van de beveiliging van de EV. Exploitatie vereist netwerktoegang en kennis van de MQTT-berichtstructuur van Everest Core.
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-33009 is het upgraden naar versie 2026.02.0 of hoger van Everest Core. Deze versie bevat een patch die een geschikte vergrendeling implementeert voor toegang tot Charger::sharedcontext en internalcontext, waardoor de data race conditie wordt geëlimineerd. Betrokken gebruikers worden ten zeerste aangeraden om deze update zo snel mogelijk toe te passen om hun EV-laadsystemen te beschermen tegen mogelijke uitbuiting. Bovendien wordt aanbevolen om systeemlogboeken te controleren op ongebruikelijke activiteiten die verband houden met MQTT-berichten op het gespecificeerde pad voordat de update wordt toegepast, om mogelijke uitpinningspogingen te detecteren.
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een data race conditie treedt op wanneer de uitkomst van een programma afhangt van de volgorde waarin meerdere threads of processen worden uitgevoerd. Als de volgorde onvoorspelbaar is, kan het programma zich elke keer dat het wordt uitgevoerd anders gedragen, wat leidt tot fouten en kwetsbaarheden.
C++ UB (Undefined Behavior) betekent dat de code zich in een staat bevindt waarin de C++-standaard het gedrag niet definieert. Dit kan leiden tot onvoorspelbare resultaten, fouten of zelfs beveiligingskwetsbaarheden.
Als u een versie van Everest Core gebruikt vóór 2026.02.0, is de kans groot dat u getroffen bent. Controleer uw geïnstalleerde versie en upgrade naar de nieuwste beschikbare versie.
Isoleer het getroffen systeem van het netwerk, voer een forensische beoordeling uit om de omvang van de inbreuk te bepalen en pas de beveiligingsupdate toe op alle instanties van Everest Core.
Er is geen haalbare workaround zonder te upgraden naar versie 2026.02.0 of hoger. Pogingen om tijdelijke oplossingen te implementeren, kunnen complex en foutgevoelig zijn.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.