漏洞概述
在版本 2025.10.0 之前,EVerest 项目中的 TbdController 循环未正确处理 C++ 异常,导致其自身及其调用者静默终止。由于该组件负责 SDP 和 ISO15118-20 服务器功能,此问题可引发拒绝服务(DoS)。官方已在 2025.10.0 版本中修复该漏洞。
漏洞详情
- CVE 编号:CVE-2025-68135
- 漏洞类型:CWE-703(异常处理不当)
- CVSS 评分:6.5(中危),AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影响版本:EVerest everest-core 低于 2025.10.0 的版本
影响范围
使用 EVerest everest-core 且版本低于 2025.10.0 的系统,特别是依赖 TbdController 提供 SDP(Service Discovery Protocol)和 ISO15118-20 通信功能的电动汽车充电基础设施。
风险分析
攻击者可通过相邻网络(如本地局域网或充电网络)触发未处理的 C++ 异常,导致 TbdController 及其调用进程崩溃,从而造成服务不可用。由于该组件负责关键的通信协议服务,其终止将直接导致充电会话中断或无法建立,构成可用性层面的拒绝服务风险。该漏洞不涉及信息泄露或远程代码执行。
修复建议
- 升级至 EVerest everest-core 2025.10.0 或更高版本,该版本已修复异常处理逻辑。
- 若无法立即升级,建议在网络边界限制对相关服务端口的非授权访问,以降低攻击面。
