CVE-2026-27649 in Chargeportal
Riassunto
di VulDB • 15/06/2026
Il backend WebSocket utilizza gli identificativi delle stazioni di ricarica per associare in modo univoco le sessioni, ma consente a più endpoint di connettersi utilizzando lo stesso identificativo di sessione. Questa implementazione genera identificativi di sessione prevedibili e abilita il furto o l'oscuramento della sessione (session hijacking/shadowing), dove la connessione più recente sostituisce la stazione di ricarica legittima e riceve i comandi del backend destinati a tale stazione. Questa vulnerabilità può consentire agli utenti non autorizzati di autenticarsi come altri utenti oppure permettere a un attore malintenzionato di causare una condizione di negazione del servizio (DoS) sovraccaricando il backend con richieste di sessione valide.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.