CVE-2026-29044 in everest-core
Résumé
par VulDB • 21/05/2026
EVerest est une pile logicielle pour la recharge de véhicules électriques (EV). Avant la version 2026.02.0, lorsque WithdrawAuthorization est traité avant l'événement TransactionStarted, AuthHandler définit `transaction_active=false` et appelle uniquement `withdraw_authorization_callback`. Ce chemin appelle finalement `Charger::deauthorize()`, mais aucun arrêt réel (StopTransaction) ne se produit dans l'état de charge. Par conséquent, le retrait de l'autorisation peut être contourné par une attaque basée sur le timing, permettant à la recharge de continuer. La version 2026.02.0 contient un correctif.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.