CISA披露了XCharge C6电动汽车充电控制器的三个高危漏洞，影响2026年5月22日之前的固件版本。这些漏洞包括固件完整性检查绕过（CVE-2026-9037，CVSS 9.8）、信号处理中的栈缓冲区溢出（CVE-2026-9038，CVSS 9.8）以及远程管理服务中的不安全默认凭证（CVE-2026-9039，CVSS 9.8）。成功利用这些漏洞可让攻击者获得管理员权限或以高权限执行任意代码。这些漏洞由SaiFlow的Lionel R. Saposnik向CISA报告。 XCharge C6在全球交通运输领域部署。固件完整性检查问题允许通过管理接口远程注入代码。缓冲区溢出需要物理接入充电接口，而默认凭证问题可通过同一物理接口获得管理员访问权限。CISA建议最小化网络暴露，使用VPN进行远程访问，并遵循ICS安全最佳实践。 截至报告时，尚无公开利用。建议用户更新到最新固件并采取CISA建议的防御措施。

关键事实

• XCharge C6充电控制器存在三个CVSS 9.8严重漏洞。
• CVE-2026-9037：固件下载无完整性检查。
• CVE-2026-9038：信号处理中的栈缓冲区溢出。
• CVE-2026-9039：远程管理服务使用不安全默认凭证。
• 暂无公开利用；建议更新固件并限制网络访问。

KeyAudit 数据视角