Plataforma
linux
Componente
chargepoint-home-flex
Corrigido em
5.5.5
A vulnerabilidade CVE-2026-4157 é uma falha de injeção de comandos no serviço revssh do ChargePoint Home Flex, permitindo a execução remota de código. Um atacante na rede pode explorar esta falha para executar código arbitrário no contexto de root, comprometendo a segurança do dispositivo. A vulnerabilidade afeta as versões 5.5.4.13–5.5.4.13 do ChargePoint Home Flex, e uma correção está disponível.
A vulnerabilidade CVE-2026-4157 afeta os dispositivos ChargePoint Home Flex, permitindo que atacantes na mesma rede executem código arbitrário sem a necessidade de autenticação. Essa falha reside no tratamento de mensagens OCPP (Open Charge Point Protocol) e se deve à falta de validação adequada dos dados fornecidos pelo usuário antes de serem usados em chamadas de sistema. A pontuação CVSS de 7.5 indica um risco significativo, pois um atacante bem-sucedido pode potencialmente comprometer todo o dispositivo, acessando dados confidenciais ou usando-o como ponto de apoio para ataques à rede. A ausência de uma correção disponível atualmente agrava a situação, necessitando de uma avaliação cuidadosa e estratégias de mitigação alternativas.
Um atacante com acesso à rede do ChargePoint Home Flex pode explorar essa vulnerabilidade enviando mensagens OCPP maliciosas. A falta de validação de entrada permite a injeção de comandos, permitindo a execução de código arbitrário no dispositivo. A ausência de autenticação simplifica significativamente o processo de exploração, tornando o dispositivo vulnerável de qualquer ponto da rede. Os impactos potenciais incluem a execução de código arbitrário, roubo de dados e a possível tomada de controle do dispositivo. A exploração é particularmente preocupante em ambientes residenciais onde a segurança da rede pode ser menos robusta.
Organizations and individuals utilizing ChargePoint Home Flex devices, particularly those deployed in environments with limited network segmentation or exposed to untrusted networks, are at significant risk. Shared hosting environments where multiple users share a single ChargePoint Home Flex device are also particularly vulnerable.
• linux / server:
journalctl -u chargepoint-home-flex -f | grep -i "ocpp"• linux / server:
ps aux | grep chargepoint-home-flex• linux / server:
lsof -i :6443 # OCPP default portdisclosure
Status do Exploit
EPSS
0.25% (percentil 48%)
CISA SSVC
Vetor CVSS
Diante da falta de uma correção oficial para CVE-2026-4157, a mitigação se concentra na segmentação da rede e na limitação do acesso ao dispositivo ChargePoint Home Flex. Recomenda-se isolar o dispositivo em uma VLAN separada, restringindo a comunicação apenas aos serviços essenciais. A implementação de firewalls e regras de acesso rigorosas pode ajudar a prevenir o acesso não autorizado. O monitoramento do tráfego de rede para e do dispositivo em busca de atividades suspeitas é crucial. Além disso, manter o firmware do roteador e de outros dispositivos de rede atualizado minimiza as vulnerabilidades gerais. Entrar em contato com a ChargePoint para obter atualizações e se manter informado sobre quaisquer soluções futuras é essencial.
Actualice el dispositivo ChargePoint Home Flex a una versión corregida. Consulte la documentación del fabricante o su sitio web para obtener instrucciones específicas sobre cómo actualizar el firmware del dispositivo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OCPP (Open Charge Point Protocol) é um protocolo de comunicação padrão usado para gerenciar estações de carregamento de veículos elétricos.
Significa que um atacante não precisa de uma senha ou credenciais para explorar a vulnerabilidade.
Implemente as medidas de mitigação recomendadas, como a segmentação da rede e o monitoramento do tráfego. Entre em contato com a ChargePoint para obter atualizações.
Atualmente, não há uma solução oficial. As medidas de mitigação são as únicas opções disponíveis.
Se você tem um ChargePoint Home Flex, é provável que seja vulnerável até que a ChargePoint lance uma atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.