🔴 《严重安全漏洞:CVE-2026-22093》

CVSS 评分: 严重(9.5)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-22093 涉及 EVbee Service Android 应用程序(版本 v1.4.101.00)中的安全漏洞。该漏洞属于 CWE-295 证书验证不当(Improper Certificate Validation) 类别。

具体来说,该 Android 应用在通信过程中使用了 TLS 加密的 HTTPS 协议,但未能对服务器提供的证书进行有效验证。这意味着攻击者如果位于应用与 EVbee 服务器之间的网络路径上(例如通过中间人攻击),可以拦截并篡改应用与服务器之间的通信内容。

此外,该应用的通信流量还使用了硬编码密钥的 RC4 弱加密算法。由于 RC4 已被证明存在严重安全缺陷,且密钥是硬编码的,攻击者可以轻易解密并获取通信内容。这些通信内容中包含了充电站的访问代码(access codes),从而可能被攻击者利用。

影响范围

  • 受影响产品:EVbee Service Android 应用程序
  • 受影响版本:v1.4.101.00
  • 其他版本:目前未明确说明其他版本是否受影响,但建议所有使用该应用的 EVbee 用户关注官方更新。

风险分析

根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X),该漏洞具有以下风险特征:

  • 攻击复杂度低(AC:L):攻击者无需特殊技能即可实施中间人攻击。
  • 无需权限(PR:N):攻击者无需任何用户权限。
  • 无需用户交互(UI:N):攻击过程无需用户主动操作。
  • 机密性影响高(VC:H):攻击者可获取充电站访问代码等敏感信息。
  • 完整性影响高(VI:H):攻击者可篡改通信内容,可能伪造或修改充电指令。
  • 可用性影响低(VA:N):该漏洞主要影响数据机密性和完整性,对服务可用性影响较小。

可能的攻击后果

  1. 充电站访问代码泄露:攻击者获取访问代码后,可未经授权使用充电站,造成服务滥用或经济损失。
  2. 通信内容篡改:攻击者可修改充电指令,导致充电异常、设备损坏或安全风险。
  3. 用户隐私泄露:通信中可能包含用户账户信息、位置数据等,攻击者可进一步实施身份盗窃或跟踪。

建议:EVbee 用户应立即更新应用至最新版本(如果存在),并在未修复前避免在不可信网络(如公共 Wi-Fi)下使用该应用。同时,EVbee 厂商应尽快修复证书验证逻辑并替换弱加密算法。


🔍 技术细节

字段
CVE ID CVE-2026-22093
CVSS 评分 9.5 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-295
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 csirt@divd.nl

🔗 参考链接