RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性
タイトル RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性
概要

株式会社Gotcha Gotcha Gamesが提供するゲーム制作ソフトRPGツクールMVおよびMZには、ゲームの進行状況や関連データを保存するセーブデータ機能が用意されています。この機能を使うと、ユーザはゲームの進行状況をセーブデータに保存し、後でこのセーブデータを読み込むことで保存時点からゲームを再開できます。 RPGツクールMVおよびMZのセーブデータ機能では、セーブデータの読み込み処理において細工された内容を適切に扱うことができず、OSコマンドインジェクションに悪用される可能性があります。 <ul><li>OSコマンドインジェクション(CWE-78)- CVE-2026-56137</li></ul> この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMO Flatt Security株式会社 井手 脩太 氏

想定される影響 細工されたセーブデータを読み込んだ場合、任意のOSコマンドが実行される可能性があります。
対策

[ワークアラウンドを実施する] 開発者は、信頼できないセーブデータを読み込まないことを推奨しています。

公表日 2026年6月30日0:00
登録日 2026年6月30日14:06
最終更新日 2026年6月30日14:06
CVSS3.0 : 重要
スコア 7.8
ベクター CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
影響を受けるシステム
株式会社Gotcha Gotcha Games
RPGツクールMV バージョン 1.6.3およびそれ以前
RPGツクールMZ バージョン 1.10.0およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年06月30日]
  掲載
2026年6月25日11:30

NVD脆弱性情報
CVE-2026-56137
概要

RPG MAKER MV and MZ provided by Gotcha Gotcha Games Inc. contain an OS command injection vulnerability. If a user loads a specially crafted save-file, arbitrary OS command may be executed.

公表日 2026年6月30日16:16
登録日 2026年7月1日4:23
最終更新日 2026年6月30日23:14
関連情報、対策とツール
共通脆弱性一覧