CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27815

Critical
Published: Translated: NVD NIST

Summary

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_session_setup kopiuje listę opcji płatności o zmiennej długości do tablicy o stałej długości 2 bez sprawdzania granic, co może prowadzić do zapisów poza przydzieloną pamięcią.

Risk Assessment

Brak sprawdzania granic może prowadzić do uszkodzenia stanu EVSE lub awarii procesu, co stwarza ryzyko zakłócenia działania systemu ładowania w organizacji.

Recommendation

Zaleca się aktualizację do wersji 2026.02.0 lub nowszej, aby zastosować poprawkę eliminującą tę podatność.

Original NVD description (English source)

EVerest is an EV charging software stack. Prior to versions to 2026.02.0, ISO15118_chargerImpl::handle_session_setup copies a variable-length payment_options list into a fixed-size array of length 2 without bounds checking. With schema validation disabled by default, oversized MQTT Cmd payloads can trigger out-of-bounds writes and corrupt adjacent EVSE state or crash the process. Version 2026.02.0 contains a patch.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS