CVE-2026-29044 in everest-coreinformation

Résumé

par VulDB • 21/05/2026

EVerest est une pile logicielle pour la recharge de véhicules électriques (EV). Avant la version 2026.02.0, lorsque WithdrawAuthorization est traité avant l'événement TransactionStarted, AuthHandler définit `transaction_active=false` et appelle uniquement `withdraw_authorization_callback`. Ce chemin appelle finalement `Charger::deauthorize()`, mais aucun arrêt réel (StopTransaction) ne se produit dans l'état de charge. Par conséquent, le retrait de l'autorisation peut être contourné par une attaque basée sur le timing, permettant à la recharge de continuer. La version 2026.02.0 contient un correctif.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

03/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353678

CPE

prêt

EPSS

0.00288

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!