Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el sitio web de Chargemap

Fecha de publicación 27/02/2026
Identificador
INCIBE-2026-155
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones del sitio web de Chargemap, chargemap.com.

Descripción

Khaled Sarieddine y Mohammad Ali Sayed han informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. La explotación exitosa de estas vulnerabilidades podría permitir obtener control administrativo no autorizado sobre estaciones de carga o interrumpir los servicios de carga mediante denegaciones de servicio.

Solución

No hay solución reportada por el momento. Para tomar cualquier práctica de mitigación, se recomienda consultar los enlaces de las referencias o contactar con el fabricante.

Detalle
  • CVE-2026-25851: falta de autenticación adecuada en los endpoints WebSocket que podría permitir a atacantes no autenticados suplantar la identidad de estaciones no autorizadas y manipular los datos enviados al backend tras conectarse al endpoint WebSocket OCPP utilizando un identificador conocido o público y poder emitir o recibir comandos OCPP como si fuera un cargador legítimo. Esto puede permitir a su vez la escalada de privilegios, el control no autorizado de la infraestructura o la corrupción de los datos de la red.
  • CVE-2026-20792: falta de restricciones en el número de solicitudes de autenticación en la interfaz de programación de aplicaciones WebSocket. Esto podría facilitar ataques de fuerza bruta o ataques de denegación de servicio, suprimiendo o enrutando incorrectamente la telemetría legítima del cargador.
  • CVE-2026-25711: identificadores de sesión predecibles en el backend de WebSocket ya que este utiliza identificadores de estaciones de carga para asociar sesiones permitiendo que varios endpoints se conecten utilizando el mismo identificador. Esto podría permitir a atacantes no autenticados se autentiquen como otros usuarios, provocar denegaciones de servicio, y facilitar el secuestro o shadowing de sesiones.

La vulnerabilidad de severidad media se la identifica con el código CVE-2026-20791.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-25851 Crítica No Chargemap
CVE-2026-20792 Alta No Chargemap
CVE-2026-25711 Alta No Chargemap
CVE-2026-20791 Media No Chargemap
Listado de referencias
Chargemap chargemap.com
Etiquetas