CVE-2026-33009是EVerest EV充电软件栈核心中存在的数据竞争漏洞,可能导致C++未定义行为(潜在的内存损坏)。该漏洞由MQTT everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging消息触发,导致Charger::sharedcontext / internal_context在没有锁的情况下被并发访问。受影响的版本包括低于2026.02.0的版本。此漏洞已在版本2026.02.0中得到修复。
Everest Core中的CVE-2026-33009漏洞存在数据竞争条件,可能导致C++未定义行为(UB),从而可能导致内存损坏。该漏洞由在充电器主动充电时向everestexternal/nodered/{connector}/cmd/switchthreephaseswhilecharging发送的MQTT消息触发。由于缺乏对Charger::sharedcontext和internal_context的并发访问的适当锁定机制,多个线程可以同时访问和修改这些资源,从而可能导致数据不一致和系统不可预测的行为。该漏洞的严重性在于其可能危及电动汽车充电基础设施的完整性和安全性。
可以通过向车辆正在充电的everestexternal/nodered/{connector}/cmd/switchthreephaseswhile_charging路径发送恶意MQTT消息来利用此漏洞。具有Everest Core运行所在网络访问权限的攻击者可以发送此消息以触发数据竞争并可能损坏内存,从而导致拒绝服务、远程代码执行或破坏电动汽车的安全性。利用需要网络访问权限以及对Everest Core MQTT消息结构的了解。
Organizations deploying everest-core for EV charging infrastructure are at risk, particularly those using versions prior to 2026.02.0. Systems relying on MQTT for control and monitoring of charging stations are especially vulnerable. Shared hosting environments or deployments with limited security controls may face a higher risk of exploitation.
disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
针对CVE-2026-33009的建议缓解措施是升级到Everest Core的2026.02.0或更高版本。此版本包含一个补丁,该补丁为Charger::sharedcontext和internalcontext的访问实现了适当的锁定,从而消除了数据竞争条件。强烈建议受影响的用户尽快应用此更新,以保护其电动汽车充电系统免受潜在的攻击。此外,建议在应用更新之前,监控指定路径上MQTT消息相关的系统日志,以检测潜在的利用尝试。
Actualice EVerest a la versión 2026.02.0 o posterior. Esta versión contiene la corrección para la condición de carrera que causa la corrupción del estado del cargador.
漏洞分析和关键警报直接发送到您的邮箱。
数据竞争条件发生在程序的结果取决于多个线程或进程执行的顺序时。如果顺序不可预测,则程序每次运行时都可能表现不同,从而导致错误和漏洞。
C++ UB(Undefined Behavior)意味着代码处于C++标准未定义行为的状态。这可能导致不可预测的结果、错误或安全漏洞。
如果您使用的是Everest Core的版本早于2026.02.0,则很可能受到影响。请检查您的安装版本并升级到最新可用版本。
将受影响的系统从网络隔离,进行法医评估以确定破坏的范围,并将安全更新应用于Everest Core的所有实例。
除非升级到2026.02.0或更高版本,否则没有可行的解决方法。尝试实施临时解决方案可能很复杂且容易出错。
CVSS 向量