漏洞概述
EVerest 是一个电动汽车(EV)充电软件栈。在版本 2025.10.0 之前,该软件频繁使用 assert 函数处理错误,导致模块异常崩溃。由于 EVerest 的管理器在任一模块终止时会关闭所有其他模块并退出,因此该问题可引发拒绝服务(DoS)。在管理多个 EVSE(电动汽车供电设备)的场景中,单个模块崩溃将影响所有用户。官方已在 2025.10.0 版本中修复此问题。
漏洞详情
- CVE 编号:CVE-2025-68134
- 漏洞类型:输入验证不恰当(CWE-20)
- CVSS 评分:7.4(HIGH)
- 影响版本:EVerest 2025.10.0 之前的所有版本
影响范围
所有使用 EVerest 充电软件栈且版本低于 2025.10.0 的系统均受影响,特别是在部署多个 EVSE 的环境中,单点故障将导致整个充电系统不可用。
风险分析
攻击者可通过触发未正确处理的错误条件,使模块因 assert 失败而崩溃。由于系统架构设计为“任一模块退出即整体关闭”,该漏洞可被用于发起拒绝服务攻击,中断所有用户的充电服务,造成业务中断和可用性损失。漏洞利用无需身份认证,攻击复杂度低,影响范围可跨多个 EVSE 实例。
修复建议
- 立即升级至 EVerest 2025.10.0 或更高版本,以应用官方修复。
- 在无法立即升级的情况下,建议监控模块运行状态,并部署自动重启机制以缓解服务中断影响(注意:此措施无法根本解决漏洞,仅作为临时缓解)。
