公開日:2026/03/05 最終更新日:2026/03/05

JVNVU#95995246
Everon製Everon api.everon.ioにおける複数の脆弱性

概要

Everonが提供するEveron api.everon.ioには、複数の脆弱性が存在します。

影響を受けるシステム

  • Everon api.everon.io すべてのバージョン

詳細情報

Everonが提供するEveron api.everon.ioには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如(CWE-306)
    • CVE-2026-26288
  • 過度な認証試行に対する不適切な制限(CWE-307)
    • CVE-2026-24696
  • 不適切なセッション期限(CWE-613)
    • CVE-2026-20748
  • 認証情報の不十分な保護(CWE-522)
    • CVE-2026-27027

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 不正なステーションになりすまされ、バックエンドに送信されるデータを操作される(CVE-2026-26288)
  • サービス運用妨害(DoS)状態を引き起こされたり、ブルートフォース攻撃によって不正アクセスされたりする(CVE-2026-24696)
  • 不正なユーザーが他のユーザーとして認証されたり、サービス運用妨害(DoS)状態を引き起こされたりする(CVE-2026-20748)
  • 充電ステーションの認証識別子を取得される(CVE-2026-27027)

対策方法

ワークアラウンドを実施する
CISAによると2025年12月1日に開発者のプラットフォームは閉鎖されたとのことです。
そのため、CISAはワークアラウンドの適用を推奨しています。

詳細は、ICS Advisoryの情報を確認してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-26-062-08
    Everon OCPP Backends

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia