富士電機製Pupsmanのインストーラにおける複数の脆弱性
この発表の要点
- 富士電機製Pupsmanのインストーラに、SYSTEM権限で任意のコード実行を可能にする複数の脆弱性が存在。
- 対象はPupsman 3.9.0より前のバージョンであり、速やかにバージョン3.9.0以降へのアップデートが推奨される。
- 脆弱性はファイル検索パスの制御不備(CWE-427)とインストール時の不適切なファイルアクセス権設定(CWE-276)の2種類。
企業・自治体への影響
Pupsmanを利用している企業や組織は、SYSTEM権限での任意のコード実行という重大なセキュリティリスクに直面する可能性があります。特に、IT部門やシステム管理者、情報セキュリティ担当者は、速やかな対応が求められます。
対応すべきこと
- 自社システムで使用しているPupsmanのバージョンを確認する。
- Pupsman 3.9.0より前のバージョンを使用している場合、速やかにバージョン3.9.0以降へアップデートする。
- アップデートが困難な場合は、公式情報に基づき代替策や緩和策を検討・実施する。
- 情報セキュリティ部門やシステム管理部門へ本情報を共有し、対応状況を管理する。
対象部門: 経営者 情シス 広報
対応期限:速やかに確認
基本データ
| 企業・団体 | 富士電機株式会社 |
|---|---|
| 業界 | 製造 |
| 発表日 | 2026-07-08 |
| 分類 | サイバーセキュリティ |
発表された内容
公開日:2026/07/08 最終更新日:2026/07/08
JVN#62347140
富士電機製Pupsmanのインストーラにおける複数の脆弱性
富士電機株式会社が提供するPupsmanのインストーラには、複数の脆弱性が存在します。
Pupsman 3.9.0より前のバージョン
富士電機株式会社が提供するPupsmanのインストーラには、次の複数の脆弱性が存在します。
ファイル検索パスの制御不備(CWE-427)
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8
CVE-2026-56437
上記のCVSS評価では、細工されたDLLファイルを危険なファイルと知らずにインストーラと同じフォルダに配置したうえでインストーラを実行するように、ユーザが誘導される状況を想定しています
インストール時の不適切なファイルアクセス権設定(CWE-276)
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
CVE-2026-57895
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
細工されたDLLファイルを同じフォルダに配置した状態でインストーラを実行すると、SYSTEM権限で任意のコードが実行される(CVE-2026-56437)
インストールフォルダ内に悪意のある実行ファイルを配置することが可能となり、結果としてSYSTEM権限で任意のコードが実行される(CVE-2026-57895)
アップデートする
開発者が提供する情報に基づきバージョン3.9.0以降を使用してください。
ベンダ
リンク
富士電機株式会社
Pupsman
Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
CVE-2026-56437
CVE-2026-57895
JVN iPedia
JVNDB-2026-000095
Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.
出典: jvn@jvn.jp
URL: https://jvn.jp/jp/JVN62347140/
時系列
- 2026-07-08 JVNにて富士電機製Pupsmanのインストーラにおける複数の脆弱性情報が公開
主な数値
| 影響を受けるPupsmanのバージョン | 3.9.0より前バージョン |
|---|---|
| CVE-2026-56437 CVSS:4.0 基本値 | 8.4点 |
| CVE-2026-56437 CVSS:3.0 基本値 | 7.8点 |
| CVE-2026-57895 CVSS:4.0 基本値 | 8.5点 |
| CVE-2026-57895 CVSS:3.0 基本値 | 7.8点 |
この事例から確認すべきポイント
本発表は、富士電機製Pupsmanのインストーラに存在する複数の重大な脆弱性について警告しています。これらの脆弱性は、細工されたDLLファイルや悪意のある実行ファイルを介して、SYSTEM権限での任意のコード実行を可能にするものであり、攻撃が成功した場合の影響は極めて大きいと評価されています。特に、CWE-427(ファイル検索パスの制御不備)はユーザーの誘導を前提とするものの、CWE-276(インストール時の不適切なファイルアクセス権設定)はインストール後に悪意のあるファイルを配置できるため、どちらも深刻なリスクをはらんでいます。企業は、自社システムにおけるPupsmanの利用状況を確認し、速やかにバージョン3.9.0以降へのアップデートを実施することが不可欠です。このようなインストーラに関する脆弱性は、サプライチェーン全体のセキュリティリスクにもつながるため、ソフトウェア開発者にはセキュアな開発プロセスの徹底が、利用者には迅速な情報収集と対応が求められます。
公式出典
更新履歴
公開日: 2026-07-08
関連事例
- Weekly Report: リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)に反射型クロスサイトスクリプティングの脆弱性
- 複数のセイコーエプソン製プリンターおよびスキャナーのWeb Configにおけるクロスサイトリクエストフォージェリの脆弱性
- 三菱電機製数値制御装置における数値の入力に対する不適切な検証
- Adalo App Builderにおける複数の脆弱性
- Weekly Report: 複数のアドビ製品に脆弱性
自社のプレスリリースをPRazeに掲載しませんか?
無料でプレスリリースを掲載する