Vulnerabilidad en SteVe (CVE-2026-28230)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
26/02/2026
Última modificación:
27/02/2026
Descripción
SteVe es un sistema de gestión de estaciones de carga de vehículos eléctricos de código abierto. En versiones hasta la 3.11.0 inclusive, cuando un cargador envía un mensaje StopTransaction, SteVe busca la transacción únicamente por transactionId (un entero secuencial que comienza en 1) sin verificar que el cargador solicitante coincida con el cargador que inició originalmente la transacción. Cualquier cargador autenticado puede terminar la sesión activa de cualquier otro cargador en toda la red. La causa raíz se encuentra en OcppServerRepositoryImpl.getTransaction() que consulta únicamente por transactionId sin una verificación de propiedad de chargeBoxId. El validador verifica que la transacción existe y no está ya detenida, pero nunca verifica la identidad. Como un atacante que controla un único cargador registrado, podría enumerar IDs de transacción secuenciales y enviar mensajes StopTransaction dirigidos a sesiones activas en todos los demás cargadores de la red simultáneamente. Combinado con FINDING-014 (endpoints SOAP no autenticados), ni siquiera se requiere un cargador registrado; el ataque es ejecutable con un solo comando curl que requiere solo un chargeBoxId conocido. El commit 7f169c6c5b36a9c458ec41ce8af581972e5c724e contiene una solución para el problema.