Vulnerabilidad en Autel MaxiCharger AC Wallbox Commercial Technician (CVE-2025-5822)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/06/2025

Última modificación:

26/06/2025

Descripción

Vulnerabilidad de escalada de privilegios de autorización incorrecta en la API de Autel MaxiCharger AC Wallbox Commercial Technician. Esta vulnerabilidad permite a atacantes remotos escalar privilegios en las instalaciones afectadas de las estaciones de carga Autel MaxiCharger AC Wallbox Commercial. Para explotar esta vulnerabilidad, un atacante debe obtener primero un token de autorización con privilegios bajos. La falla específica se encuentra en la implementación de la API de Autel Technician. El problema se debe a una autorización incorrecta. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios a recursos que normalmente estarían protegidos del usuario. La vulnerabilidad era ZDI-CAN-26325.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.10

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-25-340/