三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
| Title |
三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
|
| Summary |
三菱電機製MELSOFT Update Managerには、製品が内包する7-Zipに起因する次の複数の脆弱性が存在します。<ul><li>ヒープベースのバッファオーバーフロー(CWE-122、CVE-2025-53816)</li><li>NULLポインタデリファレンス(CWE-476、CVE-2025-53817)</li><li>リンク解釈の問題(CWE-59、CVE-2025-55188)</li><li>パストラバーサル(CWE-22、CVE-2025-11001)</li></ul>この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
|
| Possible impacts |
細工された圧縮ファイルをユーザが展開することにより、下記の影響が生じる可能性があります。<ul><li>サービス運用妨害(DoS)状態になる -(CVE-2025-53816、CVE-2025-53817)</li><li>ファイルが改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-55188)</li><li>製品内の情報が取得、改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-11001)</li></ul> |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、本脆弱性に対応したバージョンにアップデートしてください。 [ワークアラウンドを実施する] 製品を速やかにアップデートできない場合、開発者は回避策ないし軽減策の適用を推奨しています。 詳しくは、開発者が提供する情報を確認してください。 |
| Publication Date |
June 30, 2026, midnight |
| Registration Date |
July 1, 2026, noon |
| Last Update |
July 1, 2026, noon |
Affected System
| 三菱電機 |
|
MELSOFT Update Manager SW1DND-UDM-M 1.000A〜1.014Q
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年07月01日] 掲載 |
July 1, 2026, noon |
NVD Vulnerability Information
CVE-2025-53816
| Summary |
7-Zip is a file archiver with a high compression ratio. Zeroes written outside heap buffer in RAR5 handler may lead to memory corruption and denial of service in versions of 7-Zip prior to 25.0.0. Version 25.0.0 contains a fix for the issue.
|
| Publication Date |
July 18, 2025, 4:15 a.m. |
| Registration Date |
July 19, 2025, 4:01 a.m. |
| Last Update |
July 19, 2025, 4:15 a.m. |
Related information, measures and tools
Common Vulnerabilities List
CVE-2025-53817
| Summary |
7-Zip is a file archiver with a high compression ratio. 7-Zip supports extracting from Compound Documents. Prior to version 25.0.0, a null pointer dereference in the Compound handler may lead to denial of service. Version 25.0.0 contains a fix cor the issue.
|
| Publication Date |
July 18, 2025, 4:15 a.m. |
| Registration Date |
July 19, 2025, 4:01 a.m. |
| Last Update |
July 19, 2025, 4:15 a.m. |
Related information, measures and tools
Common Vulnerabilities List
CVE-2025-55188
| Summary |
7-Zip before 25.01 does not always properly handle symbolic links during extraction.
|
| Publication Date |
Aug. 9, 2025, 6:15 a.m. |
| Registration Date |
Aug. 10, 2025, 4 a.m. |
| Last Update |
Aug. 15, 2025, 2:28 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:7-zip:7-zip:*:*:*:*:*:*:*:* |
|
|
|
25.01 |
Related information, measures and tools
Common Vulnerabilities List