Múltiples vulnerabilidades en OCPP Backends de Everon

Fecha de publicación 04/03/2026

Identificador

INCIBE-2026-164

Importancia

5 - Crítica

Recursos Afectados

Todas las versiones de OCPP Backends de Everon están afectadas.

Descripción

Khaled Sarieddine y Mohammad Ali Sayed informaron sobre 4 vulnerabilidades; 1 crítica, 2 altas y 1 media. En caso de ser explotadas, podrían permitir a un atacante obtener control administrativo sobre estaciones de carga vulnerables o provocar ataques de denegación de servicio.

Solución

Everon cerró su plataforma el 1 de diciembre de 2025. No se recomienda utilizar la plataforma puesto que carece de soporte.

Detalle

CVE-2026-26288: falta de autenticación adecuada en los endpoints WebSocket que podría permitir a atacantes no autenticados suplantar la identidad de estaciones no autorizadas y manipular los datos enviados al backend tras conectarse al endpoint WebSocket OCPP utilizando un identificador conocido o público y poder emitir o recibir comandos OCPP como si fuera un cargador legítimo. Esto puede permitir a su vez la escalada de privilegios, el control no autorizado de la infraestructura o la corrupción de los datos de la red.
CVE-2026-24696: falta de restricciones en el número de solicitudes de autenticación en la interfaz de programación de aplicaciones WebSocket. Esto podría facilitar ataques de fuerza bruta o ataques de denegación de servicio, suprimiendo o enrutando incorrectamente la telemetría legítima del cargador.
CVE-2026-20748: identificadores de sesión predecibles en el backend de WebSocket ya que este utiliza identificadores de estaciones de carga para asociar sesiones permitiendo que varios endpoints se conecten utilizando el mismo identificador. Esto podría permitir a atacantes no autenticados se autentiquen como otros usuarios, provocar denegaciones de servicio, y facilitar el secuestro o shadowing de sesiones.

La vulnerabilidad de severidad media se la identifica con el código CVE-2026-27027.

CVE