CVE-2025-68140 (CNNVD-202601-3355)
中文标题:
everest-core 安全漏洞
英文标题:
EVerest allows null session ID to bypass session ID verification
漏洞描述
中文描述:
everest-core是EVerest开源的一个电动汽车充电软件堆栈的主要部分。 everest-core 2025.9.0之前版本存在安全漏洞,该漏洞源于会话ID默认值为0时的验证缺陷,可能导致未经授权和匿名的MQTT消息间接发送及会话上下文更新。
英文描述:
EVerest is an EV charging software stack. Prior to version 2025.9.0, once the validity of the received V2G message has been verified, it is checked whether the submitted session ID matches the registered one. However, if no session has been registered, the default value is 0. Therefore, a message submitted with a session ID of 0 is accepted, as it matches the registered value. This could allow unauthorized and anonymous indirect emission of MQTT messages and communication with V2G messages handlers, updating a session context. Version 2025.9.0 fixes the issue.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| EVerest | everest-core | < 2025.9.0 | - | - |
cpe:2.3:a:everest:everest-core:<_2025.9.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-68140 |
2026-01-22 03:17:17 | 2026-01-21 22:00:07 |
| NVD | nvd_CVE-2025-68140 |
2026-01-22 02:00:05 | 2026-01-21 22:00:14 |
| CNNVD | cnnvd_CNNVD-202601-3355 |
2026-01-26 02:10:03 | 2026-01-25 18:11:55 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202601-3355
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']