| タイトル | 三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性 |
|---|---|
| 概要 | 三菱電機製MELSOFT Update Managerには、製品が内包する7-Zipに起因する次の複数の脆弱性が存在します。<ul><li>ヒープベースのバッファオーバーフロー(CWE-122、CVE-2025-53816)</li><li>NULLポインタデリファレンス(CWE-476、CVE-2025-53817)</li><li>リンク解釈の問題(CWE-59、CVE-2025-55188)</li><li>パストラバーサル(CWE-22、CVE-2025-11001)</li></ul>この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 |
| 想定される影響 | 細工された圧縮ファイルをユーザが展開することにより、下記の影響が生じる可能性があります。<ul><li>サービス運用妨害(DoS)状態になる -(CVE-2025-53816、CVE-2025-53817)</li><li>ファイルが改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-55188)</li><li>製品内の情報が取得、改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-11001)</li></ul> |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、本脆弱性に対応したバージョンにアップデートしてください。 [ワークアラウンドを実施する] 製品を速やかにアップデートできない場合、開発者は回避策ないし軽減策の適用を推奨しています。 詳しくは、開発者が提供する情報を確認してください。 |
| 公表日 | 2026年6月30日0:00 |
| 登録日 | 2026年7月1日12:00 |
| 最終更新日 | 2026年7月1日12:00 |
| 三菱電機 |
| MELSOFT Update Manager SW1DND-UDM-M 1.000A〜1.014Q |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年07月01日] 掲載 |
2026年7月1日12:00 |
| 概要 | 7-Zip is a file archiver with a high compression ratio. Zeroes written outside heap buffer in RAR5 handler may lead to memory corruption and denial of service in versions of 7-Zip prior to 25.0.0. Version 25.0.0 contains a fix for the issue. |
|---|---|
| 公表日 | 2025年7月18日4:15 |
| 登録日 | 2025年7月19日4:01 |
| 最終更新日 | 2025年7月19日4:15 |
| 概要 | 7-Zip is a file archiver with a high compression ratio. 7-Zip supports extracting from Compound Documents. Prior to version 25.0.0, a null pointer dereference in the Compound handler may lead to denial of service. Version 25.0.0 contains a fix cor the issue. |
|---|---|
| 公表日 | 2025年7月18日4:15 |
| 登録日 | 2025年7月19日4:01 |
| 最終更新日 | 2025年7月19日4:15 |
| 概要 | 7-Zip before 25.01 does not always properly handle symbolic links during extraction. |
|---|---|
| 公表日 | 2025年8月9日6:15 |
| 登録日 | 2025年8月10日4:00 |
| 最終更新日 | 2025年8月15日2:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:7-zip:7-zip:*:*:*:*:*:*:*:* | 25.01 | ||||