CVE-2026-20781: Fehlende Authentifizierung in CloudCharge-Ladestation
⚠️ CVE-Referenzen:
CVE-2026-20781
Zusammenfassung
Die Schwachstelle CVE-2026-20781 in der CloudCharge-Ladestation ermöglicht es Angreifern, sich ohne Authentifizierung mit dem OCPP-WebSocket-Endpunkt zu verbinden und als legitime Ladestation Befehle zu erteilen oder Daten zu manipulieren. Dies kann zu Eskalation von Berechtigungen, unkontrollierter Steuerung der Ladeinfrastruktur und Verfälschung von Abrechnungsdaten führen. Eine Authentifizierung der Ladestationen ist dringend erforderlich, um diese kritischen Sicherheitslücken zu schließen.
Cloudcharge - Cloudcharge.se - CRITICAL - CVE-2026-20781.
WebSocket endpoints lack proper authentication mechanisms, enabling
attackers to perform unauthorized station impersonation and manipulate
data sent to the backend. An unauthenticated attacker can connect to the
OCPP WebSocket endpoint using a known or discovered charging station
identifier, then issue or receive OCPP commands as a legitimate charger.
Given that no authentication is required, this can lead to privilege
escalation, unauthorized control of charging infrastructure, and
corruption of charging network data reported to the backend.
Quelle: securityvulnerability.io