CVE-2026-54479
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w backendzie WebSocket pozwala na przewidywalne identyfikatory sesji, ponieważ wiele punktów końcowych może łączyć się z tym samym identyfikatorem sesji. Umożliwia to nieautoryzowanym użytkownikom podszywanie się pod innych lub przeprowadzenie ataku DoS poprzez przeciążenie backendu prawidłowymi żądaniami sesji.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu oraz potencjalne przerwy w działaniu usług spowodowane atakiem typu Denial of Service.
Rekomendacja
Należy zaimplementować unikalne, nieprzewidywalne identyfikatory sesji dla każdego połączenia WebSocket oraz ograniczyć możliwość wielokrotnego użycia tego samego identyfikatora.
Oryginalny opis (angielski, źródło NVD)
The WebSocket backend uses charging station identifiers to uniquely associate sessions but allows multiple endpoints to connect using the same session identifier. This implementation results in predictable session identifiers. This vulnerability may allow unauthorized users to authenticate as other users or enable a malicious actor to cause a denial-of-service condition by overwhelming the backend with valid session requests.

