CVE-2026-29796 — 神龙十问 AI 深度分析摘要

🚨 **本质**：IGL-Technologies eParking.fi 平台存在 **访问控制错误**。 📉 **后果**：WebSocket 端点缺乏身份验证，导致攻击者可进行 **站点模拟**、**数据操纵**、**权限提升**，甚至 **控制充电基础设施**。

🔍 **CWE**：CWE-306（缺少身份验证）。 📍 **缺陷点**：**WebSocket 端点** 未实施适当的 **身份验证机制**，导致任何连接者均可访问敏感功能。

🏢 **厂商**：IGL-Technologies。 📦 **产品**：eParking.fi（智能停车管理平台，含收费与车位监控功能）。

👮 **权限**：无需认证即可 **权限提升**。 💾 **数据**：可 **操纵数据** 及执行 **未经授权的站点模拟**。 🔌 **硬件**：可能 **未经授权控制充电基础设施**。

📶 **利用门槛**：**极低**。 🔑 **认证**：**PR:N**（无需权限/认证）。 🌐 **网络**：**AV:N**（网络远程利用）。 👤 **交互**：**UI:N**（无需用户交互）。

📜 **PoC**：当前数据中 **无现成 PoC**（pocs 为空）。 🌍 **在野**：暂无明确在野利用报告，但鉴于 CVSS 高评分，风险极大。

🔎 **自查**：检查 WebSocket 连接是否 **缺少 Token/Session 验证**。 🛡️ **扫描**：尝试直接连接 WebSocket 端点，观察是否返回敏感数据或执行命令。

📅 **发布时间**：2026-03-20。 🔗 **参考**：CISA 已发布 ICSA-26-078-08 警报。 💡 **建议**：立即查阅厂商公告获取 **补丁或缓解措施**。

🚧 **临时规避**： 1. **网络隔离**：限制 WebSocket 端点的网络访问。 2. **WAF 规则**：拦截异常的 WebSocket 连接请求。 3. **监控**：加强对充电基础设施和停车数据的异常操作监控。

🔥 **优先级**：**紧急**。 📊 **CVSS**：**8.6** (High)。 ⚠️ **理由**：远程无需认证即可控制关键基础设施（充电/停车），对运营安全构成直接威胁。