Plataforma
other
Componente
csaf
La vulnerabilidad CVE-2026-24731 afecta a ev2go.io, permitiendo a atacantes no autenticados suplantar estaciones de carga y manipular datos enviados al backend. Esta falta de autenticación en los endpoints WebSocket facilita la ejecución de comandos OCPP como si fueran de una estación legítima. Todas las versiones de ev2go.io son susceptibles a este problema, y se recomienda implementar medidas de mitigación inmediatas.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante tomar el control de la infraestructura de carga sin necesidad de credenciales. Esto puede resultar en la manipulación de datos de carga, la alteración de la configuración de las estaciones, e incluso la interrupción del servicio. Un atacante podría, por ejemplo, alterar los precios de la carga, redirigir la energía a estaciones controladas por él, o incluso dañar el hardware de la estación. La falta de autenticación amplía el radio de explosión, ya que cualquier persona con acceso a la red puede potencialmente explotar esta vulnerabilidad. Esta situación es particularmente preocupante en entornos donde la infraestructura de carga está integrada con sistemas de gestión de energía o redes inteligentes.
La vulnerabilidad CVE-2026-24731 fue publicada el 26 de febrero de 2026. No se ha añadido a KEV ni se conoce un EPSS score. Actualmente no se han reportado pruebas de concepto públicas, pero la naturaleza de la vulnerabilidad (falta de autenticación) la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas ev2go.io en busca de actividad sospechosa.
Organizations deploying ev2go.io charging infrastructure, particularly those with publicly accessible charging stations or those relying on accurate charging network data, are at significant risk. Shared hosting environments where multiple charging stations share a single ev2go.io instance are also particularly vulnerable.
• other / charging infrastructure:
# Monitor for connections to OCPP WebSocket port (9000)
ss -t ln -p 9000 | grep ev2go.io• other / charging infrastructure:
# Check for unusual OCPP commands in logs (if logging is enabled)
grep -i "charge request|disconnect" /var/log/ev2go.io/*• other / charging infrastructure:
# Monitor for connections from unexpected IP addresses
journalctl -u ev2go.io | grep "Connection from" | sort -udisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
Dado que no se ha publicado una versión corregida, la mitigación inmediata se centra en la restricción del acceso a los endpoints WebSocket. Implemente reglas de firewall para limitar el acceso a estos endpoints solo a fuentes confiables. Considere la implementación de un proxy inverso con autenticación para controlar el acceso a los endpoints OCPP. Revise la configuración de ev2go.io para identificar posibles configuraciones inseguras y aplique las mejores prácticas de seguridad. Monitoree los logs de la estación de carga en busca de actividad sospechosa, como conexiones no autorizadas o comandos OCPP inusuales. Una vez que esté disponible, actualice a la versión corregida de ev2go.io lo antes posible. Después de implementar estas medidas, verifique la seguridad de la estación de carga mediante pruebas de penetración.
Implementar mecanismos de autenticación robustos para los endpoints WebSocket. Validar y autorizar todas las solicitudes OCPP antes de procesarlas. Considerar el uso de certificados digitales o tokens de autenticación para verificar la identidad de las estaciones de carga.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24731 is a CRITICAL vulnerability affecting all ev2go.io versions. It allows unauthenticated attackers to impersonate charging stations and manipulate data due to a lack of authentication on WebSocket endpoints.
Yes, all versions of ev2go.io are currently affected by this vulnerability. Assess your deployments and implement mitigations immediately.
Upgrade to a patched version of ev2go.io as soon as it becomes available. Until then, implement WAF rules to restrict access to the OCPP WebSocket endpoint.
While no active exploitation has been confirmed, the ease of exploitation suggests it is a high-probability target. Monitor your systems closely.
Refer to the official ev2go.io security advisory for detailed information and updates regarding this vulnerability. Check their website and security mailing lists.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.