Vulnerabilidad en EVerest (CVE-2026-24003)

EVerest es una pila de software de carga de vehículos eléctricos. En versiones hasta la 2025.12.1 inclusive, es posible omitir la verificación del estado de la secuencia, incluyendo la autenticación, y enviar solicitudes que transicionan a estados prohibidos en relación con el actual, actualizando así el contexto actual con datos ilegítimos. Gracias al diseño modular de EVerest, la autorización se gestiona en un módulo separado y la máquina de estados interna del cargador EVSEManager no puede transicionar fuera del estado 'WaitingForAuthentication' a través de la comunicación ISO 15118-2. Desde este estado, sin embargo, fue posible a través de mensajes ISO 15118-2 que se publican en el servidor MQTT engañarlo para que se prepare para cargar, e incluso para que se prepare para enviar corriente. El requisito final para enviar corriente al vehículo eléctrico fue el cierre de los contactores, lo cual no parece ser posible sin salir del estado 'WaitingForAuthentication' y aprovechar los mensajes ISO 15118-2. A la fecha de publicación, no hay versiones corregidas disponibles.