Vulnerabilidad en Autel MaxiCharger AC Wallbox Commercial (CVE-2025-5825)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/06/2025

Última modificación:

26/06/2025

Descripción

Vulnerabilidad de ejecución remota de código en la degradación del firmware de Autel MaxiCharger AC Wallbox Commercial. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de las estaciones de carga Autel MaxiCharger AC Wallbox Commercial. Para explotar esta vulnerabilidad, un atacante debe primero vincular un dispositivo Bluetooth malicioso con el sistema objetivo. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una imagen de firmware antes de usarla para realizar una actualización. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el dispositivo. Anteriormente, se denominaba ZDI-CAN-26354.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-25-344/