漏洞概述
EVerest 是一个电动汽车(EV)充电软件栈。在版本 2025.9.0 及更早版本中,攻击者可通过建立大量未完成 ISO 15118-2 通信的 TCP 连接,耗尽操作系统内存,导致模块异常终止,从而造成拒绝服务。该问题已在 2025.10.0 版本中修复。
漏洞详情
- CVE 编号:CVE-2025-68133
- 漏洞类型:CWE-770(资源分配未加限制或未释放)
- CVSS 评分:7.4(HIGH)
- 影响版本:EVerest 2025.9.0 及以下版本
影响范围
所有使用 EVerest 软件栈 2025.9.0 及更早版本的电动汽车充电站(EVSE)系统均受影响。漏洞触发后将导致 EVerest 主进程及其所有模块崩溃,完全中断充电服务。
风险分析
攻击者只需位于相邻网络(如本地局域网),即可通过发起大量 TCP/TLS 连接(无需完成协议握手)触发漏洞。由于每个连接都会启动新线程且缺乏有效验证与限制机制,系统内存将被迅速耗尽,最终导致服务不可用。该漏洞可被用于实施拒绝服务攻击,严重影响充电桩的正常运行。
修复建议
- 立即升级至 EVerest 2025.10.0 或更高版本,该版本已修复此问题。
- 若无法立即升级,建议在网络边界部署防火墙规则,限制对 EVerest 服务端口的并发连接数,并仅允许可信设备访问相关端口,以降低攻击面。
