CVE-2026-25192 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CTEK Chargeportal 存在**访问控制错误**。缺少身份验证机制，导致未授权访问。 💥 **后果**：攻击者可**冒充充电站**，操纵后端数据，造成严重安全威胁。

🔍 **CWE ID**：**CWE-306**（缺少身份验证）。 📍 **缺陷点**：后端接口或通信链路中**未校验请求来源身份**，允许匿名/伪造请求通过。

🏢 **厂商**：**CTEK**（瑞典公司）。 📦 **产品**：**Chargeportal**（电动车充电管理平台）。

🕵️ **权限**：无需认证即可操作。 📊 **数据**：可**篡改**发送至后端的数据，可能影响充电状态、计费或设备控制。

🚪 **门槛**：**极低**。 🔑 **认证**：**PR:N**（无需权限），**AC:L**（攻击简单），**AV:N**（网络远程即可利用）。

📦 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开现成代码。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查 CTEK Chargeportal 接口是否**拒绝无 Token/ID 的请求**。 🛠 **扫描**：使用漏洞扫描器检测 **CWE-306** 类型缺陷，或模拟未认证请求测试响应。

🛡️ **官方**：CTEK 已发布支持页面，CISA 发布 **ICSA-26-078-06** 警报。 📝 **状态**：建议立即查阅厂商支持页面获取**补丁或配置指南**。

🚧 **临时规避**： 1️⃣ **网络隔离**：将 Chargeportal 置于**内网**，限制公网访问。 2️⃣ **WAF 规则**：拦截异常充电控制指令。 3️⃣ **监控**：审计后端数据变更日志。

⚡ **优先级**：**高**。 📈 **CVSS**：**7.5**（高危）。 📅 **时间**：2026-03-20 公布，属**近期新漏洞**，需立即评估并修复。