Libocpp
Уязвимости
18
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.00526
Распределение по критичности
Критический
0
Высокий
4
Средний
14
Низкий
0
Затронутые диапазоны версий
< 0.30.1< 2026.02.0
Также сопоставлено как (исходные строки): libocpp
Топ уязвимостей
CVE-2026-22790EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0 `HomeplugMessage::setup_payload` доверяет `len` после `sexert`; в сборке проверка удаляется, поэтому негабаритные полезные нагрузки SLAC`'d в буфер сетки ~1497-байт, разрушая стек и позволяя удаленное выполнение кода из сетевых кадров. Версия 2026.02.0 содержит патч.
CVE-2026-23995EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0 переполнение буфера на основе стека при инициализации интерфейса CAN: передача имени интерфейса длиннее, чем IFNAMSIZ (16) на CAN open-обнаружения, переполняет `freq.ifr_name`, повреждение смежных данных стека и обеспечение потенциального выполнения кода. Вредоносное или неправильно настроенное имя интерфейса может вызвать это до любой проверки привилегий. Версия 2026.02.0 содержит патч.
CVE-2026-26008EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют внеграничный доступ (стд::вектор), что приводит к возможному удаленному краху / коррумпированности памяти. Это связано с тем, что CSMS отправляет UpdateAllowedEnergyTransferModes по сети. Версия 2026.2.0 содержит патч.
CVE-2026-26074EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к возможной `std::map<std::queue>` коррупции. Исходом является CSMS GetLog/UpdateFirmware request (сетевая сеть) с событием неисправности EVSE (физическим). Это приводит к отчетам TSAN о одновременном доступе (гонка данных) к `event_queue`. Версия 2026.2.0 содержит патч.
CVE-2026-33009EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к C++ UB (потенциальная коррупция памяти). Это вызвано сообщением MQTT `everest_external/nodered/{connector}/cmd/switch_three_thase_while_charging` и приводит к `Charger::shared_context` / `internal_context`, к которому осуществляется одновременно без блокировки. Версия 2026.02.0 содержит патч.
CVE-2026-29044EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0, когда авторизация вывода обрабатывается до события TransactionStarted, AuthHandler определяет `transaction_active=false` и вызывает только `rew_authorization_callback`. Этот путь в конечном итоге называется «Зарядное управление::deauthorize()`, но никакой фактической остановки (StopTransaction) не происходит в состоянии зарядки. В результате вывод авторизации может быть побежден по времени, что позволяет продолжать взимание платы. Версия 2026.02.0 содержит патч.
CVE-2026-26073EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к возможной `std::queue`/`std::deque` коррупции. Спусковым крючком является обновление публичных ключей силовогометра и события сеанса/ошибки EV (в то время как OCPP не запускается). Это приводит к тому, что отчет о гонке данных TSAN и обнаружена ошибка времени выполнения ASAN/UBSAN со сплоченным адресом. Версия 2026.02.0 содержит патч.
CVE-2026-27828EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0, ISO15118_chargerImpl::handle_session_setup использует v2g_ctx после того, как он был освобожден, когда инициализация ISO15118 не работает (например, нет IPv6 link-локальный адрес). Процесс EVSE может быть разбит удаленно злоумышленником с доступом MQTT, который выдает команду session_setup, пока v2g_ctx был выпущен. Версия 2026.02.0 содержит патч.
CVE-2026-27816EVerest - это стек программного обеспечения для зарядки EV. До версий до 2026.02.0, ISO15118_chargerImpl::handle_update_energy_transfer_modes копирует список с переменной длиной в массив длины 6 без проверки границ. С отключением скримозавернения по умолчанию, негабаритные полезные нагрузки MQTT Cmd могут вызывать заграничные записи и коррумпировать соседнее состояние EVSE или сорвить процесс. Версия 2026.02.0 содержит патч.
CVE-2026-27815EVerest - это стек программного обеспечения для зарядки EV. До версий до 2026.02.0, ISO15118_chargerImpl::handle_session_setup копирует список pay_options с переменной длиной в фиксированный массив длины 2 без проверки границ. С отключением скримозавернения по умолчанию, негабаритные полезные нагрузки MQTT Cmd могут вызывать заграничные записи и коррумпировать соседнее состояние EVSE или сорвить процесс. Версия 2026.02.0 содержит патч.
CVE-2026-27813EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к использованию после-бесплатно. Это вызвано событиями авторизации EV (или ответом на задержку авторизации RFID/RemoteStart/OCPP) (или ответом с задержкой авторизации). Версия 2026.2.0 содержит патч.
CVE-2026-33015EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0, даже сразу после того, как CSMS выполняет RemoteStop (StopTransaction), EVSE может вернуться к «PrepareCharging`» через переключение BCB EV, позволяющее перезапустить сеанс. Это нарушает необратимость дистанционной остановки и может обойти оперативный/выставленный счет/контроль безопасности. Версия 2026.02.0 содержит патч.
CVE-2026-33014EVerest - это стек программного обеспечения для зарядки EV. До версии 2026.02.0, во время обработки RemoteStop, ответ с задержкой авторизации восстанавливает `authorized` обратно в true, преодолевая условие `stop_transaction()` вызова на события PowerOff. В результате транзакция может оставаться открытой даже после удаленной остановки. Версия 2026.02.0 содержит патч.
CVE-2025-68138EVerest - это стек программного обеспечения для зарядки EV, а EVerest libocpp - это реализация протокола Open Charge Point. В libocpp до версии 0.30.1 указатели, возвращаемые звонками «strdup`», никогда не освобождаются. При каждой попытке подключения вновь выделенная область памяти будет просачивается, что может привести к истощению памяти и отказ в обслуживании. Версия 0.30.1 решает проблему.
CVE-2026-27814EVerest - это стек программного обеспечения для зарядки EV. Версий до 2026.02.0 имеет гонку данных (C++ UB), вызванную 1-фазным 3-фазным запросом переключателя (`ac_switch_three_three_while_chargeg) во время выполнения зарядки/остановки одновременно с циклом государственного машины. Версия 2026.02.0 содержит патч.
CVE-2026-26072EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к `std::map<std::tional>` параллельному доступу (возможно, контейнерная / факционная коррупция). Спусковым крючком является обновление SoC EV с периодическим обновлением силового метра и статусом отключения/SessionFinished. Версия 2026.02.0 латирует проблему.
CVE-2026-26071EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к `std::string` параллельному доступу. с кучей-использования-после-бесплатно. Это вызвано обновлением EVCCID (EV/ISO15118) и событиями сессии/разрешения OCPP. Версия 2026.02.0 содержит патч.
CVE-2026-26070EVerest - это стек программного обеспечения для зарядки EV. Версии до 2026.02.0 имеют гонку данных, ведущую к `std::map<std::tional>` параллельного доступа (возможно, контейнерная / факционная коррупция). Спусковым крючком является обновление SoC EV с периодическим обновлением силового метра и состоянием отключения/SessionFinished. Версия 2026.2.0 содержит патч.