// 2 ZERO-DAY · 2 CVE · 3 EXPLOIT NELLE ULTIME 24H
Vulnerabilità critica nei caricabatterie Autel MaxiCharger AC Elite Home: integer underflow nel protocollo OCPP consente esecuzione remota di codice senza

Il 15 luglio 2026 il TrendAI Zero Day Initiative ha pubblicato l'advisory ZDI-26-437, che documenta una vulnerabilità di esecuzione remota di codice nei caricabatterie domestici Autel MaxiCharger AC Elite Home. La falla, presentata nel contesto del contest di sicurezza Pwn2Own, sfrutta un integer underflow nel parsing dei messaggi WebSocket del servizio OCPP e non richiede autenticazione, espando il perimetro di attacco dall'infrastruttura di ricarica alla rete domestica dell'utente.

Punti chiave
  • La vulnerabilità ZDI-26-437 (CVE-2026-13308, CVSS 8.1) consente esecuzione remota di codice arbitrario sui caricabatterie Autel MaxiCharger AC Elite Home senza richiedere autenticazione.
  • Il meccanismo tecnico è un integer underflow in allocazione buffer durante il parsing di messaggi WebSocket del servizio OCPP, causato da mancata validazione dei dati utente.
  • La falla è stata riportata al vendor il 19 marzo 2026; il rilascio coordinato è avvenuto circa quattro mesi dopo, il 15 luglio 2026.
  • Non emergono conferme di exploit in-the-wild al di là della dimostrazione nel contesto Pwn2Own; la fonte non specifica la disponibilità di patch vendor-specifica né versioni firmware affette o corrette.

Il protocollo OCPP come superficie d'attacco

L'Open Charge Point Protocol è lo standard de facto per la comunicazione tra stazioni di ricarica EV e sistemi di gestione centralizzati. La sua adozione diffusa, che ne garantisce l'interoperabilità, lo rende simultaneamente un obiettivo appetibile: una singola falla nel parser può propagarsi su intere flotte di dispositivi. Nel caso di ZDI-26-437, la superficie esposta non è un'API REST o un pannello di gestione, ma il canale WebSocket stesso, tipicamente mantenuto aperto per lo scambio continuo di dati tra il caricabatterie e il backend dell'operatore.

L'advisory ZDI specifica che la vulnerabilità risiede nella gestione dei messaggi WebSocket "related to the OCPP service". Questo dettaglio è rilevante perché colloca la falla nel cuore della logica di business del dispositivo, non in un servizio accessorio. L'integer underflow si verifica prima dell'allocazione di un buffer, quando dati controllati dall'attacco non subiscono una validazione adeguata. Il risultato è una corruzione di memoria che consente l'esecuzione di codice nel contesto dell'embedded system.

Perché pre-autenticazione cambia l'equazione

L'assenza di requisiti di autenticazione per l'exploit è il fattore che eleva il rischio operativo. Un caricabatterie domestico connesso a Internet, o anche raggiungibile dalla rete locale tramite compromissione di altri dispositivi, presenta una superficie attaccabile senza barriere di ingresso. La rete domestica, in questo scenario, non funge più da perimetro difensivo: il dispositivo IoT energetico diventa un pivot potenziale per movimenti laterali.

"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Autel MaxiCharger AC Elite Home EV chargers. Authentication is not required to exploit this vulnerability." — ZDI Advisory ZDI-26-437

Il punteggio CVSS 8.1, assegnato da ZDI per CVE-2026-13308, colloca la vulnerabilità nel range "Alta" severità. La fonte non fornisce il vettore CVSS completo, quindi non è possibile desumere la metrica di accesso alla rete o la complessità dell'attacco oltre quanto dichiarato. Ciò che emerge con certezza è la combinazione di impatto massimo (esecuzione di codice) e facilità d'accesso (nessuna autenticazione).

La disclosure coordinata e i dati mancanti

La timeline documentata da ZDI mostra un intervallo di circa quattro mesi tra la segnalazione al vendor e il rilascio pubblico: il 19 marzo 2026 per il report privato, il 15 luglio 2026 per la pubblicazione coordinata. Questo lasso di tempo è compatibile con le finestre standard di disclosure, ma il dossier non chiarisce se Autel abbia rilasciato aggiornamenti firmware nel frattempo o se l'advisory accompagni la disponibilità di una patch.

Su questo punto, i limiti del dossier sono espliciti: non risulta un advisory pubblico del vendor nei dati disponibili, né una versione firmware indicata come correttiva. Il record CVE-2026-13308, confermato dall'assegnazione ufficiale ma ancora in stato "reserved" secondo cve.org, non ha ancora popolato i dettagli tecnici. Per gli operatori di reti di ricarica e i proprietari di installazioni domestiche, questo genera un vuoto operativo: non esiste un identificatore di versione "sicura" da verificare sul proprio dispositivo.

Perché è importante

Il dossier non specifica misure correttive adottate dal vendor né raccomandazioni tecniche per la mitigazione. Non risultano, nei dati disponibili, indicazioni su eventuali aggiornamenti automatici, canali di distribuzione firmware, o procedure di verifica della versione installata. La fonte non documenta inoltre se Autel abbia attivato canali di comunicazione con la propria base installata per notificare la vulnerabilità.

Il contesto Pwn2Own, in cui la falla è stata dimostrata, valida la riproducibilità tecnica dell'exploit ma non fornisce evidenza di utilizzo malizioso al di fuori del laboratorio. La distinzione è rilevante per la valutazione del rischio: una proof-of-conference non equivale a una minaccia attiva, ma la pre-autenticazione riduce drasticamente la soglia per eventuali repliche. Il settore della mobilità elettrica, in rapida espansione, sta ereditando le stesse sfide di sicurezza che hanno attraversato settori IoT più maturi, con l'aggravante di un'infrastruttura fisica connessa alla rete elettrica.

Domande e risposte

I caricabatteri Autel sono gli unici dispositivi con questa falla?

L'advisory ZDI-26-437 identifica esplicitamente il modello Autel MaxiCharger AC Elite Home. Il dossier non estende la conferma ad altri prodotti del vendor né ad implementazioni OCPP di altri produttori. Una generalizzazione non sarebbe supportata dai dati disponibili.

Esiste una patch applicabile?

Non risulta documentata nei dati del dossier la disponibilità di un aggiornamento firmware specifico rilasciato da Autel. Il record CVE è in stato "reserved" e non riporta informazioni su versioni corrette.

Qual è il rischio concreto per un utente domestico?

Un caricabatterie compromesso potenzia la superficie d'attacco della rete domestica. Il dossier documenta l'esecuzione di codice nel contesto del dispositivo; non specifica i vettori di propagazione successivi, ma la logica di rete rende plausibile il movimento laterale verso altri sistemi domestici.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. trendmicro.com