Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2025-5822

Опубликовано: 25 июн. 2025
Источник: nvd
CVSS3: 7.1
CVSS3: 8.8
EPSS Низкий

Описание

Autel MaxiCharger AC Wallbox Commercial Technician API Incorrect Authorization Privilege Escalation Vulnerability. This vulnerability allows remote attackers to escalate privileges on affected installations of Autel MaxiCharger AC Wallbox Commercial charging stations. An attacker must first obtain a low-privileged authorization token in order to exploit this vulnerability.

The specific flaw exists within the implementation of the Autel Technician API. The issue results from incorrect authorization. An attacker can leverage this vulnerability to escalate privileges to resources normally protected from the user. Was ZDI-CAN-26325.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_ac_elite_business_c50_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_ac_elite_business_c50_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_ac_elite_business_c50:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_ac_pro_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_ac_pro_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_ac_pro:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_ac_ultra_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_ac_ultra_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_ac_ultra:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_dc_compact_mobile_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_dc_compact_mobile_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_dc_compact_mobile:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_dc_compact_pedestal_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_dc_compact_pedestal_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_dc_compact_pedestal:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_dc_fast_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_dc_fast_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_dc_fast:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_dc_hipower_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_dc_hipower_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_dc_hipower:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_dh480_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_dh480_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_dh480:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

Одно из

cpe:2.3:o:autel:maxicharger_single_charger_firmware:*:*:*:*:*:*:*:american_standard
Версия до 1.39.51 (исключая)
cpe:2.3:o:autel:maxicharger_single_charger_firmware:*:*:*:*:*:*:*:european_standard
Версия до 1.56.51 (исключая)
cpe:2.3:h:autel:maxicharger_single_charger:-:*:*:*:*:*:*:*

EPSS

Процентиль: 13%
0.00042
Низкий

7.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-863

Связанные уязвимости

github логотип

GHSA-68xm-7jcv-ph77

CVSS3: 7.1
github
8 месяцев назад

Autel MaxiCharger AC Wallbox Commercial Technician API Incorrect Authorization Privilege Escalation Vulnerability. This vulnerability allows remote attackers to escalate privileges on affected installations of Autel MaxiCharger AC Wallbox Commercial charging stations. An attacker must first obtain a low-privileged authorization token in order to exploit this vulnerability. The specific flaw exists within the implementation of the Autel Technician API. The issue results from incorrect authorization. An attacker can leverage this vulnerability to escalate privileges to resources normally protected from the user. Was ZDI-CAN-26325.

EPSS

Процентиль: 13%
0.00042
Низкий

7.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-863