公開日:2025/07/24 最終更新日:2025/07/24

JVNVU#92506407
三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性

概要

三菱電機製MELSOFT Update Managerには、当該製品に搭載している7-Zipに起因する複数の脆弱性が存在します。

影響を受けるシステム

  • MELSOFT Update Manager
    • SW1DND-UDM-M 1.000A~1.012N
使用しているバージョンの確認方法等詳細については、開発者が提供する情報を確認してください。

詳細情報

三菱電機製MELSOFT Update Managerには、当該製品に搭載している7-Zipに起因する次の複数の脆弱性が存在します。

  • 整数アンダーフロー(CWE-191)- CVE-2024-11477
  • Mark-of-the-Web情報の取り扱い不備(CWE-693) - CVE-2025-0411

想定される影響

第三者によって細工されたアーカイブファイルを当該製品上で展開した場合、悪意のあるプログラムが実行される可能性があります。
結果として、情報の取得や改ざん、サービス運用妨害(DoS)攻撃を受けるなどの可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとにバージョン1.013Pあるいはそれ以降にアップデートしてください。

ワークアラウンドを実施する
アップデートをすぐに適用できない場合、開発者は軽減策の適用を推奨しています。

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 MELSOFT Update Managerにおける7-Zipに起因する悪意のあるプログラムが実行される脆弱性

参考情報

  1. ICS Advisory | ICSA-25-184-03
    Mitsubishi Electric MELSOFT Update Manager

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia