🔴 严重 | CVE-2026-20744 — The charging station websocket endpoint accepts co...
🔴 《严重安全漏洞:CVE-2026-20744》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-10
漏洞简介
CVE-2026-20744 是一个存在于充电站(charging station)WebSocket 端点(endpoint)中的安全漏洞。该漏洞的根源在于,该 WebSocket 端点在接受连接时未实施适当的身份验证(authentication)机制。根据相关 CWE 分类(CWE-284),这属于“不正确的访问控制(Improper Access Control)”问题。
由于缺乏身份验证,攻击者可以未经授权地建立 WebSocket 连接,从而可能利用该连接执行特权操作,最终导致权限提升(privilege escalation)。
影响范围
根据 CISA 发布的 ICS 公告(ICSA-26-188-01)以及相关的 CSAF 文件,该漏洞影响特定的充电站设备或系统。虽然当前描述未明确列出具体的软件版本号,但建议用户参考官方公告(如 CISA 和 Hydro-Québec 提供的链接)以获取受影响的固件版本或设备型号的详细列表。
风险分析
根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N),该漏洞具有以下风险特征:
- 攻击途径(Attack Vector):网络(Network),攻击者无需物理接触设备即可发起攻击。
- 攻击复杂度(Attack Complexity):低(Low),利用条件简单。
- 所需权限(Privileges Required):无(None),攻击者无需任何有效凭证。
- 用户交互(User Interaction):无(None),攻击过程无需受害者操作。
攻击后果:
- 机密性(Confidentiality):高(High),攻击者可能获取敏感数据。
- 完整性(Integrity):高(High),攻击者可能篡改系统配置或数据。
- 可用性(Availability):高(High),攻击者可能导致服务中断或设备不可用。
综合来看,该漏洞允许远程、未授权的攻击者通过 WebSocket 接口直接与充电站建立连接,并可能执行高权限操作,例如修改充电参数、提取用户数据或控制设备行为。由于 CVSS 评分极高,且无需任何前置条件,该漏洞属于严重级别,建议相关用户立即关注厂商安全更新并采取缓解措施。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-20744 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-284 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Received |
| 数据来源 | ics-cert@hq.dhs.gov |
🔗 参考链接
💬 评论