关键漏洞信息 漏洞标题 Multiple Vulnerabilities in eCharge Hardy Barth cPH2 and cPP2 charging stations 漏洞详情 CVE编号: CVE-2025-27803, CVE-2025-27804, CVE-2025-48414, CVE-2025-48415, CVE-2025-48416, CVE-2025-48417 影响: Critical 受影响版本: 2.2.0 发现日期: 13.11.2023 漏洞概述 Missing Authentication (CVE-2025-27803): 设备在网络接口和MQTT服务器上未实施任何身份验证。 Multiple OS Command Injection Vulnerabilities (CVE-2025-27804): 存在多个操作系统命令注入漏洞。 OS Backdoor User "root" (CVE-2025-48413): 硬编码的root用户密码泄露。 Backdoor Functionality via Web Interface (CVE-2025-48414): 网络接口中存在硬编码凭据的脚本。 Backdoor Functionality via USB Drive (CVE-2025-48415): 可通过USB驱动器触发后门功能。 Backdoor Functionality via SSH (CVE-2025-48416): OpenSSH守护进程监听TCP端口22,存在硬编码的登录凭证。 Hard-Coded Certificate and Private Key for HTTPS Web Interface (CVE-2025-48417): 用于HTTPS网络接口的证书和私钥硬编码在固件中。 解决方案 厂商尚未提供任何修复措施。 绕过方法 无安全设备隔离。 厂商联系时间线 2023年11月: 发现并报告给共同客户。 2024年1月: 联系厂商。 2024年4月: 厂商确认新固件将在2025年4月底前发布。 2025年5月: 公开发布安全公告。