CVE-2026-32663该漏洞存在于电动汽车充电桩的 WebSocket 后端组件中。系统使用充电站标识符关联会话,但未限制同一标识符的并发连接数量,且标识符具有可预测性。攻击者可利用此缺陷实施会话劫持或影子会话攻击,接管合法充电站的通信并接收后端指令。此外,该漏洞还可能导致未经授权的身份认证,或通过发送海量有效请求触发拒绝服务条件。
漏洞核心在于 WebSocket 后端对会话管理的逻辑缺陷。系统仅依赖充电站标识符来建立和维持 WebSocket 连接,且未对标识符的随机性进行充分保护,导致标识符可被预测。同时,后端缺乏并发控制机制,允许不同的客户端使用相同的会话 ID 建立连接。这种设计违背了会话唯一性和安全性的基本原则。利用方式:攻击者首先通过枚举或预测算法获取目标充电站的会话标识符。随后,攻击者发起 WebSocket 连接请求,并在握手阶段使用该被劫持的标识符。由于系统机制,最新的连接会“挤占”或“影子化”原有合法连接,导致后端发送给充电桩的控制指令(如启动/停止充电)被攻击者接收。这不仅破坏了系统的机密性和完整性,还允许攻击者冒充设备对电网进行恶意操作。此外,攻击者可利用该机制发送大量有效连接请求,耗尽后端资源,造成拒绝服务攻击。