CVE-2026-22593 是 EVerest 中的一个基于栈的缓冲区溢出漏洞,当文件名长度等于 MAXFILENAME_LENGTH 时,会发生溢出。攻击者可以通过构造恶意文件名来利用此漏洞,从而可能导致代码执行。受影响的版本为 2026.02.0 以下版本。该漏洞已在 2026.02.0 版本中得到修复。
Everest Core 电动汽车充电软件栈中的 CVE-2026-22593 存在着显著风险,原因是存在基于堆栈的缓冲区溢出。此漏洞发生在软件处理 IsoMux 证书文件名时。具体来说,文件名处理中的不正确(off-by-one)检查允许长度恰好等于 MAXFILENAMELENGTH(100 个字符)的文件名覆盖 filenames[idx] 缓冲区。这种堆栈损坏可能导致恶意代码执行,从而危及电动汽车充电系统的安全性。此漏洞的严重程度评分为 CVSS 8.4,表明存在高风险。
攻击者可以通过将长度恰好为 100 个字符的 IsoMux 证书文件放置在 Everest Core 系统的证书目录中来利用此漏洞。文件名设计用于在证书处理过程中触发缓冲区溢出。如果系统存在漏洞,则此恶意文件可能允许攻击者在系统上执行任意代码,从而可能危及电动汽车充电系统及其相关信息的完整性。利用难度相对较低,因为它只需要将特定文件放置在受控位置即可。对证书目录的访问是限制因素,但仍然构成重大风险。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
减轻 CVE-2026-22593 的方法是将 Everest Core 升级到 2026.02.0 版本或更高版本。此版本包含修复程序,可解决文件名处理中的不正确检查,从而防止缓冲区溢出。强烈建议尽快应用此更新,以保护电动汽车充电系统免受潜在攻击。此外,请审查并加强与证书管理和用户输入验证相关的安全策略,以防止未来出现类似的漏洞。还建议监控系统日志,以查找可疑活动。
升级 EVerest 到 2026.02.0 或更高版本。此版本包含针对 IsoMux 证书文件名处理中基于栈的缓冲区溢出漏洞的修复。
漏洞分析和关键警报直接发送到您的邮箱。
Everest Core 是电动汽车充电系统中使用的软件栈。
此更新修复了一个漏洞,该漏洞可能允许攻击者在系统上执行恶意代码。
如果您使用的是 2026.02.0 之前的版本,则您容易受到攻击。
实施对证书目录的严格访问控制,并监控系统日志。
请参阅官方安全资源以获取有关漏洞的最新信息。
CVSS 向量