公開日:2026/04/16 最終更新日:2026/04/17

JVN#88396700
Arcserve製UDP ConsoleにおけるダミーのURLへリダイレクトされる脆弱性

概要

Arcserveが提供するUDP Consoleには、オフラインアクティベーションの通信がダミーのURLへリダイレクトされる脆弱性が存在します。

影響を受けるシステム

  • UDP Console バージョン10.3

詳細情報

Arcserveが提供するUDP Consoleには、次の脆弱性が存在します。

  • 通信チャネルの不適切に指定された接続先(CWE-941
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 5.1
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値 6.3
    • CVE-2026-40118

想定される影響

ユーザが当該製品のアクティベーションサーバーのホスト名にダミーのURLを設定すると、そのダミードメインと意図せず通信してしまい、情報が漏えいする可能性があります。

対策方法

パッチを適用する
Arcserveが提供する情報をもとに、修正パッチを適用してください。

ベンダ情報

ベンダ リンク
Arcserve P00003790 | Arcserve UDP 10.3 | UDP Console Offline Activation Vulnerability

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、IPAがArcserveへ報告し、JPCERT/CCがArcserveと公表の調整を行いました。
報告者:安藤 慎吾 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2026-40118
JVN iPedia JVNDB-2026-000056

更新履歴

2026/04/17
[ベンダ情報]を更新しました