ChargePoint Home Flex revssh 服务命令注入远程代码执行漏洞

CVE-2026-4157 影响 ChargePoint Home Flex 设备，允许网络邻接攻击者在无需身份验证的情况下执行任意代码。此漏洞存在于 OCPP（Open Charge Point Protocol）消息的处理中，原因是使用户提供的字符串在系统调用之前未经过适当的输入验证。CVSS 评分 7.5 表明存在重大风险，因为攻击者可能会完全破坏设备，访问敏感数据或将其用作进一步的网络攻击的跳板。目前缺乏补丁加剧了这种情况，需要仔细评估和替代的缓解策略。

Organizations and individuals utilizing ChargePoint Home Flex devices, particularly those deployed in environments with limited network segmentation or exposed to untrusted networks, are at significant risk. Shared hosting environments where multiple users share a single ChargePoint Home Flex device are also particularly vulnerable.

• linux / server:

journalctl -u chargepoint-home-flex -f | grep -i "ocpp"

• linux / server:

ps aux | grep chargepoint-home-flex

• linux / server:

lsof -i :6443 # OCPP default port

1. 2026-04-11Disclosure

   disclosure

1. 已保留2026-03-13
2. 发布日期2026-04-11
3. 修改日期2026-04-13
4. EPSS 更新日期2026-04-18

由于 CVE-2026-4157 目前没有官方修复程序，因此缓解措施侧重于网络隔离和限制对 ChargePoint Home Flex 设备的访问。建议将设备隔离在单独的 VLAN 上，仅限制对基本服务的通信。实施防火墙和严格的访问规则有助于防止未经授权的访问。监控指向和来自设备的网络流量以查找可疑活动至关重要。此外，保持路由器和其他网络设备固件的最新状态可以最大限度地减少总体漏洞。联系 ChargePoint 以获取更新并随时了解任何未来的解决方案至关重要。