CVE-2025-5748

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-5748
WOLFBOX Level 2 EV Charger LAN OTA Exposed Dangerous Method Remote Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of WOLFBOX Level 2 EV Charger. Although authentication is required to exploit this vulnerability, the existing authentication mechanism can be bypassed. The specific flaw exists within the Tuya communications module software. The issue results from the exposure of a method allowing the upload of crafted software images to the module. An attacker can leverage this vulnerability to execute code in the context of the device. Was ZDI-CAN-26349.

8.0 /10

CVSS v3 : HIGH

V3 Legend

Vector : AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Exploitability : 2.1 / Impact : 5.9

Attack Vector ADJACENT_NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://www.zerodayinitiative.com/advisories/ZDI-25-327/
Configurations

No configuration.

History

09 Jun 2025, 12:15

Type Values Removed Values Added
Summary
  • (es) Vulnerabilidad de ejecución remota de código por método peligroso expuesta en la LAN del cargador de vehículos eléctricos WOLFBOX Nivel 2. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas del cargador de vehículos eléctricos WOLFBOX Nivel 2. Si bien se requiere autenticación para explotar esta vulnerabilidad, el mecanismo de autenticación existente puede eludirse. La falla específica se encuentra en el software del módulo de comunicaciones Tuya. El problema se debe a la exposición de un método que permite la carga de imágenes de software manipuladas al módulo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. La vulnerabilidad era ZDI-CAN-26349.

06 Jun 2025, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-06 16:15

Updated : 2025-06-09 12:15

NVD link : CVE-2025-5748

Mitre link : CVE-2025-5748

CVE.ORG link : CVE-2025-5748

JSON object : View

Products Affected

No product.

CWE
CWE-749

Exposed Dangerous Method or Function