| タイトル | EVMAPAにおける複数の脆弱性 |
|---|---|
| 概要 | EVMAPAが提供するEVMAPAには、次の複数の脆弱性が存在します。<ul><li>重要な機能に対する認証の欠如(CWE-306) - CVE-2025-54816</li><li>過度な認証試行の不適切な制限(CWE-307) - CVE-2025-53968</li><li>不適切なセッション期限(CWE-613) - CVE-2025-55705</li></ul> |
| 想定される影響 | 脆弱性を悪用された場合、次のような影響を受ける可能性があります。<ul><li>機微な情報へアクセスされ、権限を昇格されたり、システム全体のセキュリティを侵害されたりする(CVE-2025-54816)</li><li>認証要求を継続的に送信され、サービス運用妨害(DoS)状態にされたたり、不正アクセスされたりする(CVE-2025-53968)</li><li>不正にアクセスされたり、データを改ざんされたり、充電セッションを操作されたりする(CVE-2025-55705)</li></ul> |
| 対策 | CVE-2025-54816 開発者によると、一部の充電ステーションはOpen Charge Point Protocol(OCPP)を使用した認証キーへの変更を許可しないとのことです。 現在、充電設備のオペレーターはWebSocket Secure(WSS)を使用したステーションへの接続方法があり、開発者自身のVPNを介してステーションへ接続されます。 開発者は、OCPP 2.xおよびそれ以降のバージョンを使用するステーションについては、BASIC認証の実装を予定しています。 CVE-2025-53968 [開発者に問い合わせる] 開発者から、本件に関する案内はリリースされていません。詳細は開発者へ問い合わせてください。 CVE-2025-55705 開発者は、本件について同じCBIDの充電ステーションの同時接続を許可しないよう修正したとのことです。 詳細は、ICS Advisoryを確認してください。 |
| 公表日 | 2026年1月26日0:00 |
| 登録日 | 2026年1月27日12:25 |
| 最終更新日 | 2026年1月27日12:25 |
| EVMAPA |
| EVMAPA すべてのバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月27日] 掲載 |
2026年1月27日12:25 |