CVE-2026-9394Besen BS20电动汽车充电站在20260426版本之前存在安全漏洞。该漏洞源于蓝牙低功耗(BLE)处理组件中存在弱密码要求。攻击者需处于本地网络范围内,利用高复杂度的攻击手段操纵相关功能,可能导致认证机制失效。厂商已知晓此问题,建议用户关注官方发布的修复更新以降低风险。
该漏洞的核心在于Besen BS20电动汽车充电站固件中蓝牙低功耗(BLE)处理程序的实现缺陷。具体而言,设备在BLE通信过程中未严格执行强密码策略,允许或默认使用弱口令进行设备配对与认证。由于蓝牙通信的物理特性,攻击者必须处于设备附近的邻接区域(AV:A)。攻击链通常包括:首先使用BLE扫描工具识别目标设备,随后建立连接并尝试与认证服务交互。攻击者可以利用该漏洞,通过枚举常见弱密码或利用默认凭据进行暴力破解攻击。尽管CVSS评分为3.1(低危)且攻击复杂度较高(AC:H),但一旦成功,攻击者可在无需用户交互(UI:N)且无需认证(PR:N)的情况下,获取设备的低权限访问,导致敏感配置信息泄露(C:L)。这反映了物联网设备在边缘连接接口上常见的认证逻辑薄弱问题。