Vulnerabilidades

SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.5.0 contienen una vulnerabilidad de autenticación faltante en el endpoint /api/v1/datasource/uploadExcel, permitiendo a un atacante remoto no autenticado subir archivos Excel/CSV arbitrarios e inyectar datos directamente en la base de datos PostgreSQL. El endpoint se añade explícitamente a la lista blanca de autenticación, haciendo que el TokenMiddleware omita toda la validación de tokens. Los archivos subidos son analizados por pandas e insertados en la base de datos a través de to_sql() con el modo if_exists='replace'. La vulnerabilidad ha sido corregida en la v1.5.0. No se conocen soluciones alternativas disponibles.

EVerest es una pila de software de carga de VE. Antes de la versión 2025.9.0, en varios lugares, los valores enteros se concatenan a cadenas literales al lanzar errores. Esto resulta en aritmética de punteros en lugar de imprimir el valor entero como se espera, como la mayoría de los lenguajes interpretados. Esto puede ser utilizado por un operador malicioso para leer regiones de memoria no intencionadas, incluyendo el montón y la pila. La versión 2025.9.0 corrige el problema.

ArduinoCore-avr contiene el código fuente y los archivos de configuración de la plataforma Arduino AVR Boards. Una vulnerabilidad en versiones anteriores a la 1.8.7 permite a un atacante activar un desbordamiento de búfer basado en pila al convertir valores de punto flotante a cadenas con alta precisión. Al pasar valores `decimalPlaces` muy grandes a los constructores de String o métodos concat afectados, la función `dtostrf` escribe más allá de los búferes de pila de tamaño fijo, causando corrupción de memoria y denegación de servicio. Bajo condiciones específicas, esto podría permitir la ejecución de código arbitrario en placas Arduino basadas en AVR.<br /> <br /> ### Parches<br /> <br /> - La solución está incluida a partir de la versión `1.8.7` disponible en el siguiente enlace [ArduinoCore-avr v1.8.7](https://github.com/arduino/ArduinoCore-avr)<br /> <br /> - El commit de la solución está disponible en el siguiente enlace [1a6a417f89c8901dad646efce74ae9d3ddebfd59](https://github.com/arduino/ArduinoCore-avr/pull/613/commits/1a6a417f89c8901dad646efce74ae9d3ddebfd59)<br /> <br /> ### Referencias<br /> <br /> - [ASEC-26-001 ArduinoCore-avr vXXXX Resuelve la vulnerabilidad de desbordamiento de búfer](https://support.arduino.cc/hc/en-us/articles/XXXXX)<br /> <br /> ### Créditos<br /> <br /> - Maxime Rossi Bellom y Ramtine Tofighi Shirazi de SecMate (https://secmate.dev/)

EVerest es una pila de software de carga de VE, y EVerest libocpp es una implementación en C++ del Protocolo de Punto de Carga Abierto. En libocpp, anterior a la versión 0.30.1, los punteros devueltos por las llamadas a `strdup` nunca se liberan. En cada intento de conexión, el área de memoria recién asignada se filtrará, lo que podría causar agotamiento de la memoria y denegación de servicio. La versión 0.30.1 corrige el problema.

EVerest es una pila de software de carga de vehículos eléctricos. En todas las versiones hasta la 2025.12.1 inclusive, el valor predeterminado para `terminate_connection_on_failed_response` es `False`, lo que deja la responsabilidad de la terminación de la sesión y la conexión al vehículo eléctrico. En esta configuración, cualquier error encontrado por el módulo se registra pero no activa contramedidas como el restablecimiento o la terminación de la sesión y la conexión. Esto podría ser abusado por un usuario malintencionado para explotar otras debilidades o vulnerabilidades. Aunque el valor predeterminado se mantendrá en la configuración que se describe como potencialmente problemática en este problema reportado, una mitigación está disponible cambiando la configuración de `terminate_connection_on_failed_response` a `true`. Sin embargo, esto no puede establecerse a este valor por defecto ya que puede desencadenar errores en las ECUs de los vehículos, requiriendo restablecimientos de la ECU y una prolongada indisponibilidad en la carga para los vehículos. Los mantenedores juzgan que esta es una solución alternativa mucho más importante que la indisponibilidad a corto plazo de un EVSE, por lo tanto, esta configuración se mantendrá en el valor actual.

EVerest es una pila de software de carga de VE. Antes de la versión 2025.9.0, una vez verificada la validez del mensaje V2G recibido, se comprueba si el ID de sesión enviado coincide con el registrado. Sin embargo, si no se ha registrado ninguna sesión, el valor predeterminado es 0. Por lo tanto, un mensaje enviado con un ID de sesión de 0 es aceptado, ya que coincide con el valor registrado. Esto podría permitir la emisión indirecta no autorizada y anónima de mensajes MQTT y la comunicación con los manejadores de mensajes V2G, actualizando un contexto de sesión. La versión 2025.9.0 corrige el problema.

EVerest es una pila de software de carga de vehículos eléctricos. Antes de la versión 2025.10.0, durante la deserialización de un mensaje `DC_ChargeLoopRes` que incluye Receipt y TaxCosts, se accede fuera de los límites al vector `tax_costs` en la estructura `Receipt` de destino. Esto ocurre en el método `template &amp;lt;&amp;gt; void convert(const struct iso20_dc_DetailedTaxType&amp;amp; in, datatypes::DetailedTax&amp;amp; out)` lo que lleva a una desreferenciación de puntero nulo y provoca la terminación del módulo. Los procesos de EVerest y todos sus módulos se apagan, afectando a todos los EVSE. La versión 2025.10.0 corrige el problema.

Las versiones de Lodash 4.0.0 a 4.17.22 son vulnerables a la contaminación de prototipos en las funciones _.unset y _.omit. Un atacante puede pasar rutas manipuladas que hacen que Lodash elimine métodos de prototipos globales.<br /> <br /> El problema permite la eliminación de propiedades, pero no permite sobrescribir su comportamiento original.<br /> <br /> Este problema está parcheado en 4.17.23

EVerest es una pila de software de carga de VE. Antes de la versión 2025.10.0, una vez que el módulo recibe una solicitud SDP, crea un conjunto completamente nuevo de objetos como &amp;#39;Session&amp;#39;, &amp;#39;IConnection&amp;#39; que abren un nuevo socket TCP para las comunicaciones ISO15118-20 y registra retrollamadas para el descriptor de archivo creado, sin cerrar y destruir los anteriores. La &amp;#39;Session&amp;#39; anterior no se guarda y el uso de un &amp;#39;unique_ptr&amp;#39; se pierde, destruyendo los datos de conexión. Posteriormente, si el socket utilizado y, por lo tanto, el descriptor de archivo no es el último, esto conducirá a una desreferenciación de puntero nulo. La versión 2025.10.0 corrige el problema.

EVerest es una pila de software de carga de vehículos eléctricos. Antes de la versión 2025.10.0, un desbordamiento de entero que ocurre en &amp;#39;SdpPacket::parse_header()&amp;#39; permite que la longitud actual del búfer se establezca en 7 después de que se haya leído un encabezado completo de tamaño 8. La longitud restante a leer se calcula utilizando la longitud actual restada de la longitud del encabezado, lo que resulta en un valor negativo. Este valor se interpreta entonces como &amp;#39;SIZE_MAX&amp;#39; (o ligeramente menos) porque el tipo esperado del argumento es &amp;#39;size_t&amp;#39;. Dependiendo de si el servidor es TCP plano o TLS, esto conduce a un bucle infinito o a un desbordamiento de búfer de pila. La versión 2025.10.0 corrige el problema.

Al pasar datos a las funciones b64decode(), standard_b64decode() y urlsafe_b64decode() en el módulo "base64", los caracteres "+/" siempre serán aceptados, independientemente del valor del parámetro "altchars", típicamente usado para establecer un &amp;#39;alfabeto base64 alternativo&amp;#39; como el alfabeto seguro para URL. Este comportamiento coincide con lo recomendado en RFCs de base64 anteriores, pero los RFCs más recientes ahora recomiendan o bien descartar caracteres fuera del alfabeto base64 especificado o generar un error. El comportamiento antiguo tiene la posibilidad de causar problemas de integridad de datos.<br /> <br /> Este comportamiento solo puede ser inseguro si su aplicación usa un alfabeto base64 alternativo (sin "+/"). Si su aplicación no usa el parámetro "altchars" o la función urlsafe_b64decode(), entonces su aplicación no usa un alfabeto base64 alternativo.<br /> <br /> Los parches adjuntos NO hacen que el comportamiento de decodificación base64 genere un error, ya que esto sería un cambio de comportamiento y rompería programas existentes. En su lugar, el parche desaprueba el comportamiento que será reemplazado por el comportamiento recién recomendado en una futura versión de Python. Se recomienda a los usuarios mitigar verificando que las entradas controladas por el usuario coincidan con el alfabeto base64 que esperan o verificar que su aplicación no se vería afectada si las funciones b64decode() aceptaran "+" o "/" fuera de altchars.

EVerest es una pila de software de carga de vehículos eléctricos. Antes de la versión 2025.12.0, `is_message_crc_correct` en el analizador SLIP del medidor de potencia DZG_GSH01 lee `vec[vec.size()-1]` y `vec[vec.size()-2]` sin verificar que al menos dos bytes estén presentes. Tramas SLIP malformadas en el enlace serie pueden llegar a `is_message_crc_correct` con `vec.size() &amp;lt; 2` (solo a través de la ruta de mensajes múltiples), causando una lectura fuera de límites antes de la verificación CRC y un desbordamiento negativo de `pop_back`. Por lo tanto, un atacante que controla la entrada serie puede bloquear el proceso de forma fiable. La versión 2025.12.0 corrige el problema.