CVE-2026-27772 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WebSocket 端点**缺乏身份验证**。<br>🔥 **后果**：攻击者可**权限提升**，**未经授权控制**充电设施，甚至**破坏充电网络数据**。

🛡️ **CWE-306**：访问控制错误。<br>🔍 **缺陷点**：WebSocket 连接未校验用户身份，导致**鉴权机制缺失**。

🏢 **厂商**：EV Energy（英国公司）。<br>📦 **产品**：ev.energy 电动汽车充电软件平台。

⚡ **权限**：从普通用户提升至**管理员/控制者**。<br>💾 **数据**：可篡改或窃取**充电基础设施数据**及网络信息。

📉 **门槛极低**。<br>✅ **无需认证**（PR:N）。<br>✅ **无需交互**（UI:N）。<br>✅ **远程利用**（AV:N）。

🚫 **暂无 PoC**。<br>📄 **无在野利用报告**。<br>⚠️ 但 CVSS 评分高，**潜在风险极大**。

🔍 **扫描特征**：检测 WebSocket 端点是否**缺少 Token/Session 校验**。<br>🧪 **测试**：尝试直接连接 WS 接口并执行控制指令。

📅 **发布时间**：2026-02-27。<br>🔗 **参考**：CISA 已发布 ICSA 警报 (ICSA-26-057-07)。<br>🛠️ 建议立即联系厂商获取**官方补丁**。

🚧 **临时规避**：<br>1. **防火墙**：限制 WebSocket 端口访问。<br>2. **WAF**：拦截未认证的 WS 请求。<br>3. **网络隔离**：将充电系统置于**独立 VLAN**。

🔴 **优先级：高**。<br>📊 **CVSS**：7.5 (High)。<br>💡 **建议**：虽无 Exp，但**基础设施安全**至关重要，需**立即评估**并部署缓解措施。