三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
タイトル 三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
概要

三菱電機製MELSOFT Update Managerには、製品が内包する7-Zipに起因する次の複数の脆弱性が存在します。<ul><li>ヒープベースのバッファオーバーフロー(CWE-122、CVE-2025-53816)</li><li>NULLポインタデリファレンス(CWE-476、CVE-2025-53817)</li><li>リンク解釈の問題(CWE-59、CVE-2025-55188)</li><li>パストラバーサル(CWE-22、CVE-2025-11001)</li></ul>この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

想定される影響 細工された圧縮ファイルをユーザが展開することにより、下記の影響が生じる可能性があります。<ul><li>サービス運用妨害(DoS)状態になる -(CVE-2025-53816、CVE-2025-53817)</li><li>ファイルが改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-55188)</li><li>製品内の情報が取得、改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-11001)</li></ul>
対策

[アップデートする] 開発者が提供する情報をもとに、本脆弱性に対応したバージョンにアップデートしてください。 [ワークアラウンドを実施する] 製品を速やかにアップデートできない場合、開発者は回避策ないし軽減策の適用を推奨しています。 詳しくは、開発者が提供する情報を確認してください。

公表日 2026年6月30日0:00
登録日 2026年7月1日12:00
最終更新日 2026年7月1日12:00
影響を受けるシステム
三菱電機
MELSOFT Update Manager SW1DND-UDM-M 1.000A〜1.014Q
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年07月01日]
  掲載
2026年7月1日12:00

NVD脆弱性情報
CVE-2025-53816
概要

7-Zip is a file archiver with a high compression ratio. Zeroes written outside heap buffer in RAR5 handler may lead to memory corruption and denial of service in versions of 7-Zip prior to 25.0.0. Version 25.0.0 contains a fix for the issue.

公表日 2025年7月18日4:15
登録日 2025年7月19日4:01
最終更新日 2025年7月19日4:15
関連情報、対策とツール
共通脆弱性一覧
CVE-2025-53817
概要

7-Zip is a file archiver with a high compression ratio. 7-Zip supports extracting from Compound Documents. Prior to version 25.0.0, a null pointer dereference in the Compound handler may lead to denial of service. Version 25.0.0 contains a fix cor the issue.

公表日 2025年7月18日4:15
登録日 2025年7月19日4:01
最終更新日 2025年7月19日4:15
関連情報、対策とツール
共通脆弱性一覧
CVE-2025-55188
概要

7-Zip before 25.01 does not always properly handle symbolic links during extraction.

公表日 2025年8月9日6:15
登録日 2025年8月10日4:00
最終更新日 2025年8月15日2:28
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:7-zip:7-zip:*:*:*:*:*:*:*:* 25.01
関連情報、対策とツール
共通脆弱性一覧