公開日:2026/03/23 最終更新日:2026/03/23

JVNVU#98951712
IGL-Technologies製eParking.fiにおける複数の脆弱性

概要

IGL-Technologiesが提供するeParking.fiには、複数の脆弱性が存在します。

影響を受けるシステム

  • eParking.fi すべてのバージョン
当該製品のOCPPサーバーの暗号化を実装している、あるいはIGL-Technologies独自のeTolppaプロトコルを使用している機器は、本件の影響を受けません。

詳細情報

IGL-Technologiesが提供するeParking.fiには、次の複数の脆弱性が存在します。

  • 重要な機能に対する認証の欠如(CWE-306)
    • CVE-2026-29796
  • 過度な認証試行の不適切な制限(CWE-307)
    • CVE-2026-31903
  • 不適切なセッション期限(CWE-613)
    • CVE-2026-32663
  • 認証情報の不十分な保護(CWE-522)
    • CVE-2026-31926

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 権限を昇格され、認証なく充電インフラを操作され、バックエンドへ報告された充電ネットワークデータを破壊される(CVE-2026-29796)
  • 当該機器をサービス運用妨害(DoS)にされたり、ブルートフォース攻撃によって当該機器へ不正にアクセスされたりする(CVE-2026-31903)
  • 認証されていないユーザーが他のユーザーとして認証されたり、当該機器をサービス運用妨害(DoS)にされたりする(CVE-2026-32663)
  • 充電ステーションの認証識別子を公にアクセス可能な状態にされる(CVE-2026-31926)

対策方法

開発者は、本脆弱性の影響を緩和するため、当該製品のOCPPサーバーのアップデートを実施しました。

詳細は、ICS Advisoryを確認してください。

ベンダ情報

参考情報

  1. ICS Advisory | ICSA-26-078-07
    IGL-Technologies eParking.fi

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia