無料スキャン
HIGHCVE-2026-22593CVSS 8.4

EVerest に IsoMux 証明書ファイル名解析における off-by-one スタックバッファオーバーフロー (Stack Buffer Overflow) がある

プラットフォーム

other

コンポーネント

everest-core

修正版

2026.02.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年3月
NVDで見る
保存

CVE-2026-22593は、EVerestにおけるバッファオーバーフローの脆弱性です。IsoMux証明書のファイル名処理におけるチェックの不備が原因で、ファイル名長がMAXFILENAME_LENGTH(100)の場合に発生します。影響を受けるバージョンは2026.02.0より前です。この脆弱性により、コード実行の可能性があります。修正はバージョン2026.02.0で提供されています。

影響と攻撃シナリオ

Everest Coreのソフトウェアスタック(電気自動車充電ソフトウェア)におけるCVE-2026-22593は、スタックベースのバッファオーバーフローにより重大なリスクをもたらします。この脆弱性は、ソフトウェアがIsoMux証明書ファイル名を処理する際に発生します。具体的には、ファイル名処理における不適切な(off-by-one)チェックにより、MAXFILENAMELENGTH(100文字)に正確に等しい長さのファイル名がfilenames[idx]バッファをオーバーフローさせる可能性があります。このスタックの破損は、悪意のあるコードの実行につながり、電気自動車充電システムのセキュリティを損なう可能性があります。この脆弱性の深刻度はCVSSスコア8.4で評価されており、高いリスクを示しています。

悪用の状況

攻撃者は、Everest Coreシステムの証明書ディレクトリに、正確に100文字の長さのIsoMux証明書ファイルを配置することで、この脆弱性を悪用する可能性があります。ファイル名は、証明書処理中にバッファオーバーフローをトリガーするように設計されています。システムが脆弱な場合、この悪意のあるファイルにより、攻撃者はシステム上で任意のコードを実行できる可能性があり、電気自動車充電システムおよび関連情報の整合性が損なわれる可能性があります。悪用する難易度は比較的低く、特定のファイルを制御された場所に配置するだけで済みます。証明書ディレクトリへのアクセスが必要な点が制限要因ですが、それでも重大なリスクとなります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H8.4HIGHAttack VectorLocal攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ローカル — システム上のローカルセッションまたはシェルが必要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントeverest-core
ベンダーEVerest
影響範囲修正版
< 2026.02.0 – < 2026.02.0

弱点分類 (CWE)

CWE-193

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-22593を軽減するための解決策は、Everest Coreをバージョン2026.02.0以降にアップグレードすることです。このバージョンには、ファイル名処理における不適切なチェックを修正する修正が含まれており、バッファオーバーフローを防ぎます。可能な限り早くこのアップデートを適用して、電気自動車充電システムを潜在的な攻撃から保護することを強くお勧めします。さらに、将来の同様の脆弱性を防ぐために、証明書管理およびユーザー入力検証に関連するセキュリティポリシーを見直し、強化する必要があります。システムログを不審なアクティビティがないか監視することも推奨されます。

修正方法

EVerest をバージョン 2026.02.0 以降にアップデートしてください。このバージョンには、IsoMux 証明書ファイル名処理におけるスタックベースのバッファオーバーフロー (Stack Buffer Overflow) の脆弱性に対する修正が含まれています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-22593 とは何ですか?(everest-core の Buffer Overflow)

Everest Coreは、電気自動車充電システムで使用されるソフトウェアスタックです。

everest-core の CVE-2026-22593 による影響を受けていますか?

このアップデートは、攻撃者がシステム上で悪意のあるコードを実行できる可能性のある脆弱性を修正します。

everest-core の CVE-2026-22593 を修正するにはどうすればよいですか?

2026.02.0より前のバージョンを使用している場合は、脆弱です。

CVE-2026-22593 は積極的に悪用されていますか?

証明書ディレクトリへの厳格なアクセス制御を実装し、システムログを監視してください。

CVE-2026-22593 に関する everest-core の公式アドバイザリはどこで確認できますか?

最新の脆弱性情報については、公式のセキュリティソースを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索