anchore_overrides,nvd
Epower
Уязвимости
4
Эксплуатируемые
0
Критический
1
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2026-22552Конечные точки WebSocket не имеют надлежащих механизмов аутентификации, что позволяет злоумышленникам выполнять несанкционированное олицетворение станции и манипулировать данными, отправляющимися на бэкэнд. Неаутентифицированный злоумышленник может подключиться к конечной точке OCPP WebSocket с помощью известного или обнаруженного идентификатора зарядной станции, а затем выдавать или принимать команды OCPP в качестве законного зарядного устройства. Учитывая, что аутентификация не требуется, это может привести к эскалации привилегий, несанкционированному контролю за зарядной инфраструктурой и повреждению данных сети зарядки, сообщающихся в бэкэнд.
CVE-2026-27778Веб-сайт прикладного Интерфейса не имеет ограничений на количество запросов на аутентификацию. Это отсутствие ограничения скорости может позволить злоумышленнику проводить атаки типа «необход», подавляя или неправильно направляя законную телеметрию зарядного устройства, или проводить атаки грубой силы для получения несанкционированного доступа.
CVE-2026-27770Идентификации зарядной станции аутентификации являются общедоступными через веб-картографические платформы.
CVE-2026-24912Бэкэнд WebSocket использует идентификаторы зарядных станций для уникального ассоциированного сеанса, но позволяет подключать несколько конечных точек с использованием одного и того же идентификатора сеанса. Эта реализация приводит к предсказуемым идентификаторам сеанса и позволяет захватить сеанс или затенить, когда самое последнее соединение вытесняет законную зарядную станцию и получает бэкэнд-команды, предназначенные для этой станции. Эта уязвимость может позволить неавторизованным пользователям аутентифицироваться как другие пользователи или включить
злоумышленника, чтобы вызвать условие отказа в обслуживании, подавляя бэкэнд с действительными запросами на сеанс.