JVNVU#98468202
EV2GO製ev2go.ioにおける複数の脆弱性

EV2GOが提供するev2go.ioには、複数の脆弱性が存在します。

• ev2go.io すべてのバージョン

EV2GOが提供するev2go.ioには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如（CWE-306）
  • CVE-2026-24731
• 過度な認証試行の不適切な制限（CWE-307）
  • CVE-2026-25945
• 不適切なセッション期限（CWE-613）
  • CVE-2026-20895
• 認証情報の不十分な保護（CWE-522）
  • CVE-2026-22890

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証なしにOCPP WebSocketエンドポイントに接続され、権限を昇格されたり、充電インフラを操作されたり、バックエンドへ報告された充電ネットワークデータを破壊される（CVE-2026-24731）
• 当該機器をサービス運用妨害（DoS）にされたり、ブルートフォース攻撃によって当該機器へ不正にアクセスされたりする（CVE-2026-25945）
• 認証されていないユーザーが他のユーザーとして認証されたり、当該機器をサービス運用妨害（DoS）にされたりする（CVE-2026-20895）
• 充電ステーションの認証識別子を公にアクセス可能な状態にされる（CVE-2026-22890）

開発者に問い合わせる
2026年2月27日現在、本件について開発者からCISAへの応答はありません。
詳細は、開発者に問い合わせてください。