公開日:2025/09/18 最終更新日:2025/09/18

JVNVU#93403671
オムロンソーシアルソリューションズ製無停電電源装置(UPS)管理アプリケーションにおけるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

概要

オムロンソーシアルソリューションズ製無停電電源装置(UPS)管理アプリケーションには、Windowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性が存在します。

影響を受けるシステム

  • PowerAttendant Standard Edition(Windows版)
    • Ver.2.0.0およびそれ以前(提供中)
  • PowerAttendant Basic Edition(Windows版)
    • Ver.1.1.0およびそれ以前(提供中)
  • PowerAct Pro(Windows版)<Slave Agent>
    • Ver.5.20およびそれ以前(提供中)
  • PowerAct Pro(Windows版)<Master Agent>
    • Ver.5.17およびそれ以前(提供終了)
  • Simple Shutdown Software(Windows版)
    • Ver.2.51およびそれ以前(提供終了)
詳しくは、開発者が提供する情報を確認してください。

詳細情報

オムロンソーシアルソリューションズ製無停電電源装置(UPS)管理アプリケーションには、Windowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性(CWE-428、CVE-2025-9818)が存在します。

想定される影響

当該製品のインストールフォルダのパスに空白文字が含まれる場合、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。

対策方法

アップデートする
本脆弱性に対応した次の製品・バージョンにアップデートしてください。

  • PowerAttendant Standard Edition(Windows版) Ver.2.1.0
  • PowerAttendant Basic Edition(Windows版) Ver.1.1.1
  • PowerAct Pro(Windows版)<Slave Agent> Ver.5.21
パッチを適用する
上記バージョンへのアップデートができない場合は、次のパッチを適用してください。
  • PowerAttendant Standard Edition(Windows版) Ver.2.0.0およびそれ以前
  • PowerAttendant Basic Edition(Windows版) Ver.1.1.0およびそれ以前
後続製品へ移行する
提供終了製品に関しては、アップデートおよびパッチは提供されません。後続製品への移行を検討してください。
後続製品名およびバージョン等の詳細については、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
オムロンソーシアルソリューションズ株式会社 無停電電源装置(UPS)管理アプリケーションによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia