文章总结： 本文分析电动汽车充电平台ePower的严重漏洞CVE-2026-22552，评分9.4分。核心原因为后台缺失身份认证，攻击者利用公开编号即可接管设备，实施账单欺诈或服务中断。文章深入剖析OCPP协议实现缺陷与攻击链，指出行业普遍存在的配置疏忽，并给出了网络隔离与双向认证等具体的检测与防护建议。 综合评分： 93 文章分类： 漏洞分析,漏洞预警,IoT安全,安全建设

9.4分严重漏洞：电动汽车充电桩后台无需任何凭据即可被完全接管

原创

CVE-SEC CVE-SEC

CVE-SEC

2026年3月12日 08:00 四川

9.4分严重漏洞：电动汽车充电桩后台无需任何凭据即可被完全接管

2026年3月3日，美国网络安全和基础设施安全局（CISA）发布工业控制系统安全公告ICSA-26-062-07，披露了影响爱尔兰电动汽车充电平台ePower的四个安全漏洞，其中核心漏洞CVE-2026-22552的CVSS v3.1评分高达9.4分，被列为严重级别。

漏洞的性质极为简单却危害极大：攻击者无需账号、无需密码、无需任何凭据，只需知道一个充电桩的编号，就能冒充该设备与运营后台建立完整通信，进而操控充电数据、中断充电服务，乃至对整个充电网络实施攻击。

截至本文发布，ePower尚未发布任何补丁，官方亦未对CISA的协调请求作出回应。

充电桩凭什么信任你

要理解这个漏洞，需要先了解充电桩是如何与管理后台通信的。

充电桩与后台之间的通信采用OCPP（Open Charge Point Protocol，开放充电协议），这是由Open Charge Alliance维护的行业开放标准，目前在全球137个国家得到应用。充电桩扮演客户端角色，管理后台扮演服务端角色，双方通过WebSocket协议保持持续连接。

连接时，充电桩会向后台发起一个HTTP升级请求，URL格式为：

wss://后台地址/ocpp/充电桩标识符

充电桩的唯一身份标识（Station ID）就嵌在这个URL的路径中。在正确的实现里，后台在握手完成之前必须验证连接方的身份——要么检查HTTP请求头中的认证凭据（OCPP Security Profile 1/2），要么通过TLS双向认证校验客户端证书（OCPP Security Profile 3）。

OCPP协议本身早在2020年发布的2.0.1版本中就定义了三级安全配置，从HTTP Basic Auth到双向TLS认证，覆盖了从低安全场景到高安全场景的不同需求。协议标准已经提供了完整的安全机制，问题在于实现方有没有把它用上。

ePower没有。

只看了一半的验证逻辑

ePower后台的处理逻辑大致如下：

收到WebSocket升级请求后，从URL路径中提取充电桩标识符，然后查询数据库，如果该标识符存在于系统，则直接返回101 Switching Protocols，连接建立完成。

问题出在这里：后台只验证了”这个标识符存在于系统”，没有验证”发起连接的人是否真的拥有这个充电桩”。

充电桩标识符并不是机密信息。它可以从公开的EV充电地图App的API接口获取，可以从充电桩硬件上的标签或二维码读取，有时也可以从命名规律中推断——比如EP-0001、EP-0002这样的顺序编号。

于是，验证逻辑变成了这样：攻击者知道标识符，标识符存在于数据库，连接成功建立。整个过程中，后台从未要求对方证明自己的身份。

四个漏洞形成完整攻击链

CISA公告中与CVE-2026-22552同时披露的还有另外三个漏洞，四者协同构成了完整的攻击链：

CVE-2026-22552（CVSS 9.4，CWE-306）是主体漏洞，WebSocket端点完全缺少身份认证，攻击者凭标识符即可建立会话。

CVE-2026-27778（CVSS 7.5，CWE-307）是辅助漏洞，WebSocket API对认证请求次数不设上限，攻击者可批量枚举标识符，也可通过大量连接请求耗尽服务端资源。

CVE-2026-24912（CVSS 7.3，CWE-613）进一步放大危害：后台允许多个连接同时使用相同的标识符，最新建立的连接会替换掉已有连接。这意味着攻击者只需建立新连接，合法充电桩就会被顶下线，从后台视图中消失。

CVE-2026-27770（CVSS 6.5，CWE-522）则解决了攻击者”从哪里获取标识符”的问题：充电桩标识符通过公开的地图平台可被直接获取，它本应是凭据，却以公开信息的形式存在。

从获取标识符，到建立未授权连接，到顶替合法设备，到批量攻击——四个漏洞环环相扣。

攻击者能做什么

一旦以合法充电桩的身份接入后台，攻击者能够执行的操作与真实的充电桩运营方没有区别。

最直接的是账单欺诈。攻击者可以向后台发送伪造的计量数据（MeterValues消息），将用电量读数设置为任意值，导致用户账单失真或运营商收入被操控。

其次是拒绝服务。攻击者建立连接后持续占用会话，合法充电桩与后台的通信被切断。后台无法向充电桩下发任何指令，远程启停充电、推送固件更新、监控状态——一切远程管理功能全部失效，充电桩陷入”失联”状态。

此外，在劫持会话期间，攻击者还会接收到后台下发给该充电桩的所有消息，其中可能包含固件更新服务器的地址和凭据、用户的RFID标签ID、充电桩的配置参数等敏感信息。

在更大的尺度上，来自Concordia大学的安全研究人员Khaled Sarieddine和Mohammad Ali Sayed在其2024年ACM AsiaCCS论文中指出，若攻击者能够同时控制大量充电桩并发送伪造的计量数据，可能对接入电网的负载调度产生影响，进而波及电力基础设施的稳定性。

这不是孤立事件

CVE-2026-22552并非偶然出现的个例，而是一个系统性问题的具体体现。

在CISA同期发布的ICSA-26-057和ICSA-26-062系列公告中，同样的漏洞模式出现在另外七个EV充电管理平台上，涉及CloudCharge（瑞典）、EV2GO（英国）、Chargemap（法国）、SWITCH EV（英国）、EV Energy（英国）、Mobility46（瑞典）、Mobiliti（匈牙利）和Everon（荷兰）。这些平台被披露的CVE均来自同一四项弱点（CWE-306/307/613/522），均由同一组研究人员报告，所有厂商均未对CISA的协调请求作出任何回应。

这批漏洞的发现来源于Sarieddine和Sayed对EV充电基础设施安全的系统性研究。他们在2023年NDSS会议上发表的ChargePrint框架论文中，通过ZoomEye、FOFA、Shodan等测绘平台发现了超过25,000个互联网暴露的EV充电管理系统主机，其中存在120个可远程利用的零日漏洞。2024年的AsiaCCS论文进一步在16个在用的充电管理平台中各发现了6个零日漏洞。

OCPP协议本身是成熟的，安全配置的设计也是完整的。问题在于，行业中大量商业平台在实际部署时没有强制执行这些安全配置，实际上以零安全配置运行。

如何检测与防护

对于正在运行ePower平台或其他OCPP充电管理系统的运营方，以下措施可以作为当前阶段的应对参考。

在网络层，最直接的临时缓解手段是将OCPP WebSocket端点从公网隔离，要求充电桩通过VPN接入后台，或在防火墙层面仅允许已注册充电桩的固定IP地址访问端点。这能将攻击面从”互联网上的任何人”缩小到”能够接入特定网络的人”。

在认证层，应在WebSocket握手处理逻辑中增加对Authorization头部的校验，至少满足OCPP Security Profile 2的要求：服务端仅在认证凭据验证通过后才响应101 Switching Protocols。有条件的运营方应向Security Profile 3（双向TLS）迁移，为每台充电桩签发唯一客户端证书。

在会话管理层，当同一标识符的新连接到来时，不应自动替换现有活跃连接，而应拒绝新连接并触发告警，由人工确认后再进行处理。

在监控层，可关注以下异常信号：同一充电桩标识符出现多个并发连接、计量数据出现超出物理功率上限的异常跳变、充电桩频繁在后台视图中消失后重新出现。

在网络侧，可通过检测”包含/ocpp/路径的WebSocket升级请求且不含Authorization头部”这一特征，识别疑似的未授权连接尝试。

漏洞来源与参考

本文所有技术细节均来自以下公开来源，不含任何推测或虚构内容。

CISA工业控制系统安全公告ICSA-26-062-07：https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-07

NVD CVE-2026-22552详情页：https://nvd.nist.gov/vuln/detail/CVE-2026-22552

Sarieddine & Sayed — Uncovering Covert Attacks on EV Charging Infrastructure（ACM AsiaCCS 2024）：https://dl.acm.org/doi/10.1145/3634737.3644999

Sarieddine & Sayed — Plug and Prey: Exploiting Design Flaws to Hijack EV Charging Stations（ScienceDirect，Computers & Security，2025）：https://www.sciencedirect.com/science/article/pii/S0167404825004481

ChargePrint：A Framework for Internet-Scale Discovery and Security Analysis of EV Charging Management Systems（NDSS 2023）：https://www.ndss-symposium.org/wp-content/uploads/2023-84-paper.pdf

SaiFlow — WebSocket DoS与能源窃取研究：https://www.saiflow.com/blog/how-mishandling-of-websockets-can-cause-dos-and-energy-theft

MITRE CWE-306定义：https://cwe.mitre.org/data/definitions/306.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CVE-SEC CVE-SEC CVE-SEC《9.4分严重漏洞：电动汽车充电桩后台无需任何凭据即可被完全接管》