Katalog CVE

CVE-2026-54479

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w backendzie WebSocket pozwala na przewidywalne identyfikatory sesji, ponieważ wiele punktów końcowych może łączyć się z tym samym identyfikatorem sesji. Umożliwia to nieautoryzowanym użytkownikom podszywanie się pod innych lub przeprowadzenie ataku DoS poprzez przeciążenie backendu prawidłowymi żądaniami sesji.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu oraz potencjalne przerwy w działaniu usług spowodowane atakiem typu Denial of Service.

Rekomendacja

Należy zaimplementować unikalne, nieprzewidywalne identyfikatory sesji dla każdego połączenia WebSocket oraz ograniczyć możliwość wielokrotnego użycia tego samego identyfikatora.

Oryginalny opis (angielski, źródło NVD)

The WebSocket backend uses charging station identifiers to uniquely associate sessions but allows multiple endpoints to connect using the same session identifier. This implementation results in predictable session identifiers. This vulnerability may allow unauthorized users to authenticate as other users or enable a malicious actor to cause a denial-of-service condition by overwhelming the backend with valid session requests.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS