概要
EV充電ステーションの WebSocket 通信において、セッション識別子が予測可能な値で生成されている脆弱性が存在します。攻撃者はセッション識別子を推測することで、正規ユーザーのセッションをハイジャックし、充電ステーションの不正操作や利用者情報の窃取が可能になります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.3 (High) |
| CWE | CWE-613(不適切なセッション期限設定) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- EV充電ステーション WebSocket 管理システム(製品名非公開)
修正バージョンと回避策
ベンダーによる修正情報を確認してください。暫定対策として、WebSocket 通信へのアクセス制御の強化およびセッション識別子の暗号学的乱数生成への切り替えを推奨します。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。