Plataforma
other
Componente
csaf
La vulnerabilidad CVE-2026-25851 afecta a todas las versiones de chargemap.com, permitiendo a atacantes no autenticados suplantar estaciones de carga y manipular datos críticos. Esta falla de autenticación en los endpoints WebSocket puede resultar en el control no autorizado de la infraestructura de carga y la corrupción de datos reportados al backend. Se recomienda una revisión exhaustiva de la configuración y la implementación de medidas de seguridad adicionales.
Esta vulnerabilidad presenta un riesgo significativo para la integridad y disponibilidad de la red de carga. Un atacante podría, sin necesidad de autenticación, conectarse a un endpoint WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto. Posteriormente, podría emitir o recibir comandos OCPP como si fuera una estación de carga legítima. Esto podría llevar a la manipulación de datos de carga, la alteración de precios, la interrupción del servicio, e incluso el control total de la estación de carga. La falta de autenticación amplifica el impacto, permitiendo a un atacante comprometer múltiples estaciones de carga sin necesidad de credenciales. El potencial de daño es considerable, especialmente en redes de carga extensas y con alta dependencia de la integridad de los datos.
La vulnerabilidad fue publicada el 26 de febrero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la falta de autenticación en los endpoints OCPP la convierte en un objetivo atractivo para atacantes. La severidad crítica (CVSS 9.4) indica una alta probabilidad de explotación si no se toman medidas correctivas. Se recomienda monitorear activamente los sistemas afectados y estar atento a cualquier indicio de actividad maliciosa.
Organizations and individuals relying on chargemap.com for charging station data and management are at risk. This includes electric vehicle charging network operators, fleet managers, and EV drivers who depend on accurate charging station information. Shared hosting environments utilizing chargemap.com services may also be vulnerable.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
Dado que la vulnerabilidad afecta a todas las versiones, la actualización a una versión corregida es la solución ideal. Sin embargo, si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear conexiones WebSocket no autorizadas a los endpoints OCPP. Auditar y restringir el acceso a la base de datos que almacena la información de las estaciones de carga. Monitorear los logs del servidor en busca de patrones de tráfico inusuales o intentos de conexión no autorizados. Considerar la implementación de un sistema de autenticación robusto para los endpoints OCPP, incluso como solución temporal.
Chargemap debe implementar mecanismos de autenticación adecuados para los endpoints WebSocket. Esto evitará la suplantación de estaciones de carga y la manipulación no autorizada de datos. Se recomienda revisar las configuraciones de seguridad y aplicar las actualizaciones proporcionadas por el proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25851 is a critical vulnerability in chargemap.com where unauthenticated attackers can impersonate charging stations and manipulate data due to missing authentication on WebSocket endpoints.
Yes, all versions of chargemap.com are affected by this vulnerability. If you rely on chargemap.com for charging station data, you are potentially at risk.
Upgrade to a patched version of chargemap.com as soon as it becomes available. Until then, implement WAF rules and monitor OCPP WebSocket traffic.
While no public exploits are currently known, the lack of authentication makes it a likely target for exploitation. Vigilance and mitigation are crucial.
Please refer to the chargemap.com security advisories page for updates and official guidance regarding CVE-2026-25851.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.