公開日:2025/11/18 最終更新日:2025/11/18

JVNVU#97181602
三菱電機製照明自動調光システムMILCO.S設定・操作アプリケーションにおけるファイル検索パスの制御不備の脆弱性

概要

三菱電機株式会社が提供する照明自動調光システムMILCO.S設定・操作アプリケーションには、ファイル検索パスの制御不備の脆弱性が存在します。

影響を受けるシステム

  • MILCO.S設定アプリケーション 全バージョン
  • MILCO.S設定アプリケーション(IR) 全バージョン
  • MILCO.Sらくらく設定アプリケーション(IR) 全バージョン
  • MILCO.Sらくらくスイッチアプリケーション(IR) 全バージョン
対策実施済みアプリケーションか否かの確認方法については、開発者が提供する情報を確認してください。

詳細情報

三菱電機株式会社が提供する照明自動調光システムMILCO.S設定・操作アプリケーションには、ファイル検索パスの制御不備の脆弱性(CWE-427、CVE-2025-10089)が存在します。

想定される影響

当該製品のインストーラ実行時に、特定のDLLを読み込んでしまう脆弱性が存在します。その結果、悪意あるプログラムが実行される可能性があります。
なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。

対策方法

最新のインストーラを使用する
開発者が提供する情報をもとに、最新のインストーラを使用してください。

ワークアラウンドを実施する
開発者は、次の軽減策・回避策の適用も推奨しています。

  • 該当製品を使用するパソコンへの物理的なアクセスを制限する
  • 信頼できないファイルを開いたり、信頼できないリンクをクリックしない
  • 正規サイト以外から入手したインストーラを実行しない
  • 対象製品のインストーラの実行ファイルが格納されているフォルダにDLLが配置されていないことを確認したうえで、インストーラを実行する
詳しくは、開発者が提供する情報を確認してください。
 

ベンダ情報

ベンダ リンク
三菱電機株式会社 照明自動調光システムMILCO.S設定・操作アプリケーションにおける悪意のあるプログラムが実行される脆弱性

参考情報

  1. Japan Vulnerability Notes JVNTA#91240916
    Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia