CVE-2026-26288

Nome do Software Vulnerável e Versões Afetadas Everon (versões afetadas não especificadas)

Descrição Os endpoints WebSocket do software não possuem autenticação suficiente, permitindo que atacantes personifiquem estações de carregamento e manipulem dados enviados ao backend. Um atacante não autenticado pode conectar-se ao endpoint WebSocket OCPP utilizando um identificador de estação de carregamento conhecido ou descoberto e, em seguida, emitir ou receber comandos OCPP como um carregador legítimo. Isso pode levar à elevação de privilégios, controle não autorizado da infraestrutura de carregamento e corrupção dos dados da rede de carregamento. Um incidente recente resultou em uma parada completa da plataforma devido à exploração de falhas críticas de autenticação. O endpoint de API afetado é o endpoint WebSocket OCPP. O identificador vulnerável utilizado para personificação é o identificador da estação de carregamento.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.