JVN、三菱電機、リコー、RPGツクール等の脆弱性情報を複数公開

ポイント

• 1三菱電機製MELSOFT Update Managerに7-Zipに起因するヒープベースのバッファオーバーフロー、NULLポインタデリファレンス、リンク解釈の問題、パストラバーサル（CVE-2025-53816, CVE-2025-53817, CVE-2025-55188, CVE-2025-11001）の脆弱性が存在し、サービス運用妨害や情報改ざんのリスクがあります。
• 2リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機（MFP）に反射型クロスサイトスクリプティング（CVE-2026-56809）の脆弱性が存在し、Webブラウザ上で任意のスクリプトが実行される可能性があります。
• 3RPGツクールMV（バージョン1.6.3以前）およびMZ（バージョン1.10.0以前）にOSコマンドインジェクション（CVE-2026-56137）の脆弱性が存在し、細工されたセーブデータを読み込むことで任意のOSコマンドが実行される可能性があります。信頼できないセーブデータの読み込みを避けることが推奨されます。
• 4これらの脆弱性に対しては、各開発元から提供される最新版へのアップデート、または回避策の適用が強く推奨されます。特に、産業用制御システムやオフィス機器、ゲーム開発環境など、幅広い分野の製品が影響を受けるため、関連するユーザーは速やかな対応が求められます。
• 5今回の公開は、JPCERT/CCやIPAが開発者と調整を行い、情報セキュリティ早期警戒パートナーシップに基づいて報告された脆弱性情報であることから、セキュリティコミュニティとベンダー間の連携強化が背景にあります。これにより、より迅速な脆弱性情報の共有と対策が期待されます。