电动汽车充电网络告警：Everon OCCP后端系统存在严重漏洞

编译：代码卫士

网络安全研究人员提醒称，用于管理电动汽车充电站的数字基础设施Everon OCPP 后端系统中存在多个严重漏洞，可导致攻击者劫持充电会话、操纵基础设施数据，或使整个充电网络下线。这些漏洞影响所有版本的 api.everon.io 平台。

其中最严重的漏洞CVE-2026-26288（CVSS 评分为 9.4）源自WebSocket 端点上完全缺乏正确身份验证机制。未经身份验证的攻击者可使用任何已知或已发现充电站标识符连接到后端。一旦连接上，攻击者便可以像合法充电器一样发送或接收开放充电点协议命令，从而导致充电基础设施被未经授权控制、权限提升以及报告数据被篡改等后果。

研究人员还发现了另外三个对充电电网安全更具威胁的漏洞：

CVE-2026-24696（CVSS 7.5）是由API 未对身份验证请求的数量进行限制导致的。缺少速率限制使攻击者能够通过压制合法遥测数据来实施暴力破解攻击或引发拒绝服务。

CVE-2026-20748（CVSS 7.3）是因为系统允许多个端点使用相同的会话标识符进行连接，从而导致“会话劫持”或“影子连接”。在这种情况下，恶意连接可能会取代合法充电器，并接收本该发送给该充电站的后端命令。

CVE-2026-27027（CVSS 6.5）源自充电站的身份验证标识符可通过基于网络的地图平台公开获取，从而为攻击者发动上述冒充攻击提供了所需的“钥匙”。

为缓解这些系统性安全风险，Everon 公司并未发布补丁，而是彻底停用该服务，做出了罕见且果断的响应。该公司已于 2025 年 12 月 1 日正式关闭了受影响的平台，从而有效消除了对电动汽车充电生态系统的威胁。

原文链接

https://securityonline.info/ev-charging-grid-alert-critical-flaws-exposed-in-everon-ocpp-backends/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。