Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en swtchenergy de SWITCH EV

Fecha de publicación 27/02/2026
Identificador
INCIBE-2026-152
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de swtchenergy.com.

Descripción

Khaled Sarieddine y Mohammad Ali Sayed han informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. En caso de que fuesen explotadas, podrían provocar que un atacante pueda secuestrar sesiones, suprimir o desviar el tráfico legítimo para causar una denegación de servicio a gran escala y manipular los datos enviados al backend.

Solución

No hay solución reportada por el momento. Para tomar cualquier práctica de mitigación, se recomienda consultar los enlaces de las referencias o contacte con el fabricante.

Detalle
  • CVE-2026-27767: falta de autenticación adecuada en los endpoints WebSocket que podría permitir a atacantes no autenticados suplantar la identidad de estaciones no autorizadas y manipular los datos enviados al backend tras conectarse al endpoint WebSocket OCPP utilizando un identificador conocido o público y poder emitir o recibir comandos OCPP como si fuera un cargador legítimo. Esto puede permitir a su vez la escalada de privilegios, el control no autorizado de la infraestructura  la corrupción de los datos de la red.
  • CVE-2026-25113: falta de restricciones en el número de solicitudes de autenticación en la interfaz de programación de aplicaciones WebSocket. Esto podría facilitar ataques de fuerza bruta o  ataques de denegación de servicio, suprimiendo o enrutando incorrectamente la telemetría legítima del cargador.
  • CVE-2026-25778: identificadores de sesión predecibles en el backend de WebSocket ya que este utiliza identificadores de estaciones de carga para asociar sesiones permitiendo que varios endpoints se conecten utilizando el mismo identificador. Esto podría permitir a atacantes no autenticados se autentiquen como otros usuarios, provocar denegaciones de servicio, y facilitar el secuestro o shadowing de sesiones.

La vulnerabilidad de severidad media se la identifica con el código CVE-2026-27773

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-27767 Crítica No SWITCH EV
CVE-2026-25113 Alta No SWITCH EV
CVE-2026-25778 Alta No SWITCH EV
CVE-2026-27773 Media No SWITCH EV
Listado de referencias
SWITCH EV swtchenergy.com
Etiquetas