EVerest — это пакет программного обеспечения для зарядки электромобилей. В версиях до 2026.02.0 существует гонка данных, приводящая к одновременному доступу к `std::string`. с возможностью использования кучи после освобождения. Это инициируется обновлением EVCCID (EV/ISO15118) и событиями сеанса/авторизации OCPP.
Версия 2026.02.0 содержит исправление.
Показать оригинальное описание (EN)
EVerest is an EV charging software stack. Versions prior to 2026.02.0 have a data race leading to `std::string` concurrent access. with heap-use-after-free possible. This is triggered by EVCCID update (EV/ISO15118) and OCPP session/authorization events. Version 2026.02.0 contains a patch.
Характеристики атаки
Способ атаки
Физический
Нужен физический доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Everest
cpe:2.3:o:linuxfoundation:everest:*:*:*:*:*:*:*:*
|
— |
2026.02.0
|