Vulnerabilidad en Autel MaxiCharger AC Wallbox Commercial (CVE-2025-5824)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/06/2025

Última modificación:

26/06/2025

Descripción

Vulnerabilidad de omisión de autenticación por error de validación de origen en Autel MaxiCharger AC Wallbox Commercial. Esta vulnerabilidad permite a atacantes adyacentes a la red omitir la autenticación en las instalaciones afectadas de Autel MaxiCharger AC Wallbox Commercial. Para explotar esta vulnerabilidad, un atacante debe primero emparejar un dispositivo Bluetooth malicioso con el sistema objetivo. La falla específica se encuentra en la gestión de solicitudes de emparejamiento Bluetooth. El problema se debe a una validación insuficiente del origen de los comandos. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Anteriormente, se conocía como ZDI-CAN-26353.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.00

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-25-343/