製品・ソフトウェアに関する情報
三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
Title 三菱電機製MELSOFT Update Managerに7-Zipに起因する複数の脆弱性
Summary

三菱電機製MELSOFT Update Managerには、製品が内包する7-Zipに起因する次の複数の脆弱性が存在します。<ul><li>ヒープベースのバッファオーバーフロー(CWE-122、CVE-2025-53816)</li><li>NULLポインタデリファレンス(CWE-476、CVE-2025-53817)</li><li>リンク解釈の問題(CWE-59、CVE-2025-55188)</li><li>パストラバーサル(CWE-22、CVE-2025-11001)</li></ul>この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

Possible impacts 細工された圧縮ファイルをユーザが展開することにより、下記の影響が生じる可能性があります。<ul><li>サービス運用妨害(DoS)状態になる -(CVE-2025-53816、CVE-2025-53817)</li><li>ファイルが改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-55188)</li><li>製品内の情報が取得、改ざんされたり、サービス運用妨害(DoS)状態にされたりする -(CVE-2025-11001)</li></ul>
Solution

[アップデートする] 開発者が提供する情報をもとに、本脆弱性に対応したバージョンにアップデートしてください。 [ワークアラウンドを実施する] 製品を速やかにアップデートできない場合、開発者は回避策ないし軽減策の適用を推奨しています。 詳しくは、開発者が提供する情報を確認してください。

Publication Date June 30, 2026, midnight
Registration Date July 1, 2026, noon
Last Update July 1, 2026, noon
Affected System
三菱電機
MELSOFT Update Manager SW1DND-UDM-M 1.000A〜1.014Q
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年07月01日]
  掲載
July 1, 2026, noon

NVD Vulnerability Information
CVE-2025-53816
Summary

7-Zip is a file archiver with a high compression ratio. Zeroes written outside heap buffer in RAR5 handler may lead to memory corruption and denial of service in versions of 7-Zip prior to 25.0.0. Version 25.0.0 contains a fix for the issue.

Publication Date July 18, 2025, 4:15 a.m.
Registration Date July 19, 2025, 4:01 a.m.
Last Update July 19, 2025, 4:15 a.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2025-53817
Summary

7-Zip is a file archiver with a high compression ratio. 7-Zip supports extracting from Compound Documents. Prior to version 25.0.0, a null pointer dereference in the Compound handler may lead to denial of service. Version 25.0.0 contains a fix cor the issue.

Publication Date July 18, 2025, 4:15 a.m.
Registration Date July 19, 2025, 4:01 a.m.
Last Update July 19, 2025, 4:15 a.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2025-55188
Summary

7-Zip before 25.01 does not always properly handle symbolic links during extraction.

Publication Date Aug. 9, 2025, 6:15 a.m.
Registration Date Aug. 10, 2025, 4 a.m.
Last Update Aug. 15, 2025, 2:28 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:7-zip:7-zip:*:*:*:*:*:*:*:* 25.01
Related information, measures and tools
Common Vulnerabilities List