🔴 《严重安全漏洞:CVE-2026-20744》

CVSS 评分: 严重(9.3)  状态: Received  发布时间: 2026-07-10


漏洞简介

CVE-2026-20744 是一个存在于充电站(charging station)WebSocket 端点(endpoint)中的安全漏洞。该漏洞的根源在于,该 WebSocket 端点在接受连接时未实施适当的身份验证(authentication)机制。根据相关 CWE 分类(CWE-284),这属于“不正确的访问控制(Improper Access Control)”问题。

由于缺乏身份验证,攻击者可以未经授权地建立 WebSocket 连接,从而可能利用该连接执行特权操作,最终导致权限提升(privilege escalation)。

影响范围

根据 CISA 发布的 ICS 公告(ICSA-26-188-01)以及相关的 CSAF 文件,该漏洞影响特定的充电站设备或系统。虽然当前描述未明确列出具体的软件版本号,但建议用户参考官方公告(如 CISA 和 Hydro-Québec 提供的链接)以获取受影响的固件版本或设备型号的详细列表。

风险分析

根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N),该漏洞具有以下风险特征:

  • 攻击途径(Attack Vector):网络(Network),攻击者无需物理接触设备即可发起攻击。
  • 攻击复杂度(Attack Complexity):低(Low),利用条件简单。
  • 所需权限(Privileges Required):无(None),攻击者无需任何有效凭证。
  • 用户交互(User Interaction):无(None),攻击过程无需受害者操作。

攻击后果

  • 机密性(Confidentiality):高(High),攻击者可能获取敏感数据。
  • 完整性(Integrity):高(High),攻击者可能篡改系统配置或数据。
  • 可用性(Availability):高(High),攻击者可能导致服务中断或设备不可用。

综合来看,该漏洞允许远程、未授权的攻击者通过 WebSocket 接口直接与充电站建立连接,并可能执行高权限操作,例如修改充电参数、提取用户数据或控制设备行为。由于 CVSS 评分极高,且无需任何前置条件,该漏洞属于严重级别,建议相关用户立即关注厂商安全更新并采取缓解措施。


🔍 技术细节

字段
CVE ID CVE-2026-20744
CVSS 评分 9.3 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-284
发布时间 2026-07-10
最后更新 2026-07-10
状态 Received
数据来源 ics-cert@hq.dhs.gov

🔗 参考链接