Abert Spruyt

**Nome do software vulnerável e versões afetadas** Versões do Circontrol Raption até a 5.6.2 **Descrição** A aplicação web pwrstudio do EV Charger está vulnerável à injeção de comandos no sistema operacional por meio de três campos do menu de configuração para `ntpserver0`, `ntpserver1` e `pingip`. Esta vulnerabilidade afeta os carregadores de corrente contínua (DC) Circontrol Raption 150. Para mitigar os riscos, certifique-se de que seus sistemas estejam atualizados para a versão mais recente. **Recomendações** Para versões até a 5.6.2, atualize para a versão mais recente para mitigar os riscos. Como solução temporária, considere restringir o acesso aos campos do menu de configuração `ntpserver0`, `ntpserver1` e `pingip` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Circontrol Raption versões 5.11.2 e anteriores **Descrição** A vulnerabilidade consiste em um estouro de buffer baseado na pilha, ocorrido antes da autenticação, que pode ser explorado para obter controle de execução do dispositivo como root. Os binários ocpp1.5 e pwrstudio na estação de carregamento carecem de medidas comuns de mitigação contra exploração, incluindo canários de pilha e o formato PIE (Position Independent Executable). **Recomendações** Para as versões 5.11.2 e anteriores do Circontrol Raption, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.