JVNVU#91184287
ePower製epower.ieにおける複数の脆弱性

ePowerが提供するepower.ieには、複数の脆弱性が存在します。

• epower.ie すべてのバージョン

ePowerが提供するepower.ieには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如（CWE-306）
  • CVE-2026-22552
• 過度な認証試行の不適切な制限（CWE-307）
  • CVE-2026-27778
• 不適切なセッション期限（CWE-613）
  • CVE-2026-24912
• 認証情報の不十分な保護（CWE-522）
  • CVE-2026-27770

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証なしにOCPP WebSocketエンドポイントに接続され、権限を昇格されたり、充電インフラを操作されたり、バックエンドへ報告された充電ネットワークデータを破壊される（CVE-2026-22552）
• 当該機器をサービス運用妨害（DoS）にされたり、ブルートフォース攻撃によって当該機器へ不正にアクセスされたりする（CVE-2026-27778）
• 認証されていないユーザーが他のユーザーとして認証されたり、当該機器をサービス運用妨害（DoS）にされたりする（CVE-2026-24912）
• 充電ステーションの認証識別子を公にアクセス可能な状態にされる（CVE-2026-27770）

開発者に問い合わせる
2026年3月4日現在、本件について開発者からCISAへの応答はありません。
詳細は、開発者に問い合わせてください。