Vulnerabilidad en everest-core (CVE-2025-68139)

EVerest es una pila de software de carga de vehículos eléctricos. En todas las versiones hasta la 2025.12.1 inclusive, el valor predeterminado para `terminate_connection_on_failed_response` es `False`, lo que deja la responsabilidad de la terminación de la sesión y la conexión al vehículo eléctrico. En esta configuración, cualquier error encontrado por el módulo se registra pero no activa contramedidas como el restablecimiento o la terminación de la sesión y la conexión. Esto podría ser abusado por un usuario malintencionado para explotar otras debilidades o vulnerabilidades. Aunque el valor predeterminado se mantendrá en la configuración que se describe como potencialmente problemática en este problema reportado, una mitigación está disponible cambiando la configuración de `terminate_connection_on_failed_response` a `true`. Sin embargo, esto no puede establecerse a este valor por defecto ya que puede desencadenar errores en las ECUs de los vehículos, requiriendo restablecimientos de la ECU y una prolongada indisponibilidad en la carga para los vehículos. Los mantenedores juzgan que esta es una solución alternativa mucho más importante que la indisponibilidad a corto plazo de un EVSE, por lo tanto, esta configuración se mantendrá en el valor actual.