CVE-2026-26051 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Mobiliti 充电站系统的 WebSocket 端点存在**访问控制错误**。 📉 **后果**：攻击者可**冒充站点**、**提升权限**，甚至**未授权控制**充电基础设施，导致严重的安全事故。

🔍 **CWE**：CWE-306（缺少身份验证）。 🔧 **缺陷点**：WebSocket 通信接口**缺乏适当的身份验证机制**，导致任何人都能建立连接并执行操作。

🏢 **厂商**：匈牙利 **Mobiliti** 公司。 🚗 **产品**：**e-mobi.hu** 电动汽车充电站系统。 ⚠️ **注意**：具体受影响版本未在数据中明确列出，需联系厂商确认。

🕵️ **黑客能力**： 1. **站点冒充**：伪装成合法充电站。 2. **权限提升**：获取更高系统权限。 3. **未授权控制**：直接操控充电设施，可能引发硬件损坏或数据泄露。

📉 **门槛极低**。 🔓 **无需认证**：CVSS 显示 **PR:N**（无需权限）。 🌐 **远程利用**：**AV:N**（网络攻击）。 👤 **无需交互**：**UI:N**（无需用户操作）。 🎯 **复杂度低**：**AC:L**（低复杂度）。

🚫 **无现成 Exp**：数据中 `pocs` 字段为空，暂无公开 PoC。 📢 **在野利用**：目前无明确在野利用报告，但鉴于利用门槛低，风险极高。

🔍 **自查方法**： 1. 检查 WebSocket 端点是否**缺少 Token/Session 验证**。 2. 尝试匿名连接并发送控制指令，观察是否响应。 3. 扫描涉及 **Mobiliti** 系统的 API 接口，确认鉴权逻辑。

🛡️ **官方动态**： 📅 发布日期：2026-03-06。 🔗 参考来源：CISA ICSA-26-062-06 advisory。 💡 **建议**：立即访问 [Mobiliti 支持页面](https://mobiliti.hu/emobilitas/ugyfeltamogatas/ugyfelszolgalat) 获取最新补丁或缓解措施。

🛑 **临时规避**： 1. **网络隔离**：将充电站系统置于**内网**，禁止公网直接访问 WebSocket 端口。 2. **WAF 防护**：配置 Web 应用防火墙，严格过滤 WebSocket 连接请求。 3. **访问控制**：限制源 IP，仅允许可信管理终端连接。

🔥 **优先级：高**。 📊 **CVSS 评分**：向量显示 **C:H/I:H/A:L**（机密性/完整性高影响）。 ⚡ **建议**：由于是**关键基础设施**（充电设施）且**无需认证**即可利用，建议**立即**采取缓解措施并联系厂商修复。