CVE-2026-22552 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ePower 充电桩 WebSocket 端点**缺少身份验证**。 📉 **后果**：未授权攻击者可进行**站点模拟**、**权限提升**或**控制充电基础设施**。

🔍 **CWE**：CWE-306（**缺少身份验证**）。 🛠️ **缺陷点**：WebSocket 通信接口未校验用户身份，直接暴露控制权。

🏭 **厂商**：ePower（爱尔兰公司）。 📦 **产品**：ePower 电动汽车充电桩系统。 🌐 **官网**：epower.ie

👮 **权限**：无需认证即可获取**高权限**。 💾 **数据**：可**完全控制**充电设施，可能导致**机密性**和**完整性**严重受损。

📶 **门槛**：**极低**。 🔑 **认证**：**无需**任何身份验证（PR:N）。 🌍 **网络**：**远程**可利用（AV:N）。 ⚙️ **复杂度**：**低**（AC:L）。

📜 **PoC**：当前数据中**无**公开 PoC。 🔥 **在野**：暂无在野利用报告。 ⚠️ **注意**：因利用简单，Exp 极易编写。

🔎 **自查**：检查充电桩管理界面 WebSocket 连接。 🧪 **测试**：尝试直接发送 WebSocket 消息，观察是否**无需登录**即可响应或执行命令。

🛡️ **官方**：ePower 已发布支持页面。 📢 ** advisories**：CISA 已发布 ICSA-26-062-07 警报。 💻 **补丁**：建议访问 epower.ie/support/ 获取最新固件/更新。

🚧 **临时规避**： 1. **网络隔离**：将充电桩置于**内网**，禁止公网访问。 2. **防火墙**：阻断 WebSocket 端口（通常为 443/80 或特定端口）的外部访问。 3. **监控**：加强日志审计，检测异常 WebSocket 连接。

⚡ **优先级**：**紧急**。 📊 **CVSS**：**高危**（C:H, I:H）。 💡 **建议**：立即隔离受影响设备，优先联系厂商获取补丁，防止充电基础设施被恶意控制。