사고/사건
[UPDATE] ChargePoint Home Flex EV 충전기, 3개 심각한 원격코드실행 취약점 공개 (ZDI-26-195/196/197 → CVE-2026-4155/4156/4157 NVD 등재, CVSS 7.5)
보도일: 2026년 4월 11일|수집일: 2026년 3월 28일
요약
ChargePoint Home Flex EV 충전기에서 OCPP 버퍼 오버플로우, 명령 주입 등 3개 RCE 취약점 공개. CVSS 7.5.
본문
ZDI(Zero Day Initiative)가 ChargePoint Home Flex 가정용 EV 충전기에서 3개의 심각한 보안 취약점을 공개했다. ZDI-26-197은 revssh 서비스의 명령 주입 취약점으로 인증 없이 원격 코드 실행이 가능하며, ZDI-26-196은 OCPP 메시지 처리 과정의 스택 기반 버퍼 오버플로우로 역시 원격 코드 실행이 가능하다. ZDI-26-195는 민감 정보 유출 취약점이다. 세 취약점 모두 CVSS 7.5 등급이며, 네트워크 인접 공격자가 인증 없이 악용 가능하다. ChargePoint는 펌웨어 버전 5.5.4.22에서 패치를 제공했다. 이 취약점들은 2025년 3월에 벤더에 보고되어 약 1년 후 공개되었다.