CVE-2026-29044 in everest-core
Zusammenfassung
von VulDB • 25.05.2026
EVerest ist ein Software-Stack für die Elektromobilität (EV-Ladestationen). Vor Version 2026.02.0 führt die Verarbeitung von WithdrawAuthorization vor dem TransactionStarted-Ereignis dazu, dass AuthHandler `transaction_active=false` festlegt und nur `withdraw_authorization_callback` aufruft. Dieser Pfad ruft letztendlich `Charger::deauthorize()` auf, jedoch findet im Ladezustand (Charging state) kein tatsächlicher Stopp (StopTransaction) statt. Infolgedessen kann der Widerruf der Autorisierung durch Timing-Manipulation umgangen werden, wodurch das Laden fortgesetzt werden kann. Version 2026.02.0 enthält einen Patch.
Once again VulDB remains the best source for vulnerability data.