つみかさね

CVE-2026-25192

Critical(9.4)

CVE-2026-25192 — CTEK EV充電ステーション WebSocket認証欠如

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
EV充電ステーションCTEKICS-CERTアドバイザリ参照
CVECTEK認証欠如ICSEV充電

概要

CTEK製EV充電ステーションにおいて、WebSocket通信に対する認証メカニズムが欠如しています。攻撃者は認証なしでWebSocket接続を確立し、充電ステーションに対して不正なコマンドを発行することが可能です。産業制御システム(ICS)に分類される機器であり、物理的なインフラへの影響が懸念されます。CVSSスコアは9.4(Critical)です。

CVSSベクトル

項目
CVSSスコア9.4 (Critical)
CWECWE-306(認証メカニズムの欠如)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • CTEK EV充電ステーション(影響バージョンはICS-CERTアドバイザリを参照)

修正バージョンと回避策

CISA ICS-CERTが公開するアドバイザリに従い、ファームウェアのアップデートを確認してください。ネットワークセグメンテーションにより、充電ステーションをインターネットから直接アクセスできない環境に配置することを推奨します。VPNによるリモートアクセスの制限も有効な緩和策です。

関連リンク

データソース: NVD (NIST)

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-29796Automated Logic WebCTRL WebSocket認証欠如CVSS 9.4CVE-2026-24060Automated Logic WebCTRL BACnet平文送信CVSS 9.1

参考リンク

CISA ICS-CERT:https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-06
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-25192
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。