CVE-2026-24731 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:EV2GO 平台 WebSocket 端点缺乏身份验证。 💥 **后果**:攻击者可绕过认证,直接操控充电设施,导致**未授权控制**和**权限提升**。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-306(缺少身份验证)。 🔍 **缺陷点**:WebSocket 连接未校验用户身份,导致**访问控制失效**。
Q3影响谁?(版本/组件)
🏢 **厂商**:EV2GO(俄罗斯公司)。 📦 **产品**:ev2go.io 电动汽车充电设施管理平台。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **站点模拟**:伪造站点状态。 2. **权限提升**:获取更高权限。 3. **未授权控制**:直接操作充电基础设施。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 🔓 **无需认证**:攻击者无需登录即可利用。 🌐 **网络可达**:CVSS 显示攻击向量为网络(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
❌ **暂无公开 Exp**。 📂 **PoC**:数据中未提供现成利用代码。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**: 1. 检查 WebSocket 端点是否要求 Token/Session。 2. 尝试匿名连接并发送控制指令。 3. 扫描是否存在未鉴权的 WS 接口。
Q8官方修了吗?(补丁/缓解)
📅 **发布时间**:2026-02-26。 🛠️ **状态**:CISA 已发布 ICS 警报(ICSA-26-057-04),建议立即关注官方补丁或缓解措施。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **网络隔离**:限制 WebSocket 端口访问。 2. **WAF 规则**:拦截未认证的 WS 请求。 3. **最小权限**:收紧基础设施访问策略。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 ⚠️ **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L(高危)。 💡 **建议**:立即实施网络层缓解措施,防止充电设施被恶意操控。