Katalog CVE

CVE-2026-27815

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_session_setup kopiuje listę opcji płatności o zmiennej długości do tablicy o stałej długości 2 bez sprawdzania granic, co może prowadzić do zapisów poza przydzieloną pamięcią.

Ocena ryzyka

Brak sprawdzania granic może prowadzić do uszkodzenia stanu EVSE lub awarii procesu, co stwarza ryzyko zakłócenia działania systemu ładowania w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2026.02.0 lub nowszej, aby zastosować poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

EVerest is an EV charging software stack. Prior to versions to 2026.02.0, ISO15118_chargerImpl::handle_session_setup copies a variable-length payment_options list into a fixed-size array of length 2 without bounds checking. With schema validation disabled by default, oversized MQTT Cmd payloads can trigger out-of-bounds writes and corrupt adjacent EVSE state or crash the process. Version 2026.02.0 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS