公開日:2026/01/26 最終更新日:2026/01/26

JVNVU#98614980
EVMAPAにおける複数の脆弱性

概要

EVMAPAが提供するEVMAPAには、複数の脆弱性が存在します。

影響を受けるシステム

  • EVMAPA すべてのバージョン

詳細情報

EVMAPAが提供するEVMAPAには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如(CWE-306)
    • CVE-2025-54816
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2025-53968
  • 不適切なセッション期限(CWE-613)
    • CVE-2025-55705

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 機微な情報へアクセスされ、権限を昇格されたり、システム全体のセキュリティを侵害されたりする(CVE-2025-54816)
  • 認証要求を継続的に送信され、サービス運用妨害(DoS)状態にされたたり、不正アクセスされたりする(CVE-2025-53968)
  • 不正にアクセスされたり、データを改ざんされたり、充電セッションを操作されたりする(CVE-2025-55705)

対策方法

CVE-2025-54816
開発者によると、一部の充電ステーションはOpen Charge Point Protocol(OCPP)を使用した認証キーへの変更を許可しないとのことです。
現在、充電設備のオペレーターはWebSocket Secure(WSS)を使用したステーションへの接続方法があり、開発者自身のVPNを介してステーションへ接続されます。
開発者は、OCPP 2.xおよびそれ以降のバージョンを使用するステーションについては、BASIC認証の実装を予定しています。

CVE-2025-53968
開発者に問い合わせる
開発者から、本件に関する案内はリリースされていません。詳細は開発者へ問い合わせてください。

CVE-2025-55705
開発者は、本件について同じCBIDの充電ステーションの同時接続を許可しないよう修正したとのことです。

詳細は、ICS Advisoryを確認してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-26-022-08
    EVMAPA

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia