CVE-2026-27028 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Mobility46 平台 WebSocket 端点缺乏身份验证。 🔥 **后果**：攻击者可进行**站点模拟**并实现**权限提升**，完全绕过安全防线。

🛡️ **CWE-306**：访问控制错误。 ❌ **缺陷点**：WebSocket 连接未校验用户身份，导致**鉴权机制缺失**。

🏢 **厂商**：瑞典 Mobility46 公司。 🔌 **产品**：电动汽车充电统一数字化管理平台 (mobility46.se)。

👮 **权限**：可**提升权限**，冒充合法用户。 📂 **数据**：可能窃取或篡改充电站点数据及用户信息。

⚡ **门槛极低**。 🔓 **无需认证**：CVSS 显示 PR:N (无需权限)，攻击者可直接利用。

🚫 **暂无公开 Exp**。 📄 数据中 `pocs` 为空，目前**无现成 PoC** 或已知在野利用。

🔍 **自查重点**：检查 WebSocket 端点是否要求 Token/Session。 📡 **扫描**：尝试直接连接 WS 接口，观察是否返回敏感数据。

📅 **发布时间**：2026-02-27。 🔄 **状态**：CISA 已发布 ICSA 警报，建议立即联系厂商获取**官方补丁**。

🛡️ **临时规避**： 1. 防火墙**阻断**非必要的 WebSocket 流量。 2. 强制启用**网络层认证**或 WAF 规则拦截未授权 WS 请求。

🔴 **优先级：高**。 ⚠️ **理由**：CVSS 评分高 (C:H/I:H)，且**无需认证**即可利用，对关键基础设施威胁极大。