サイバーセキュリティ

富士電機製Pupsmanのインストーラにおける複数の脆弱性

富士電機株式会社が提供するPupsmanのインストーラに、複数の脆弱性(CWE-427、CWE-276)が存在することが発表されました。対象はPupsman 3.9.0より前のバージョンで、細工されたDLLファイルの実行や悪意のある実行ファイルの配置により、SYSTEM権限で任意のコードが実行される可能性があります。開発者はバージョン3.9.0以降へのアップデートを推奨しており、JPCERT/CCが開発者との調整を行いました。

この発表の要点

企業・自治体への影響

Pupsmanを利用している企業や組織は、SYSTEM権限での任意のコード実行という重大なセキュリティリスクに直面する可能性があります。特に、IT部門やシステム管理者、情報セキュリティ担当者は、速やかな対応が求められます。

対応すべきこと

対象部門: 経営者 情シス 広報

対応期限:速やかに確認

基本データ

企業・団体 富士電機株式会社
業界 製造
発表日 2026-07-08
分類 サイバーセキュリティ

発表された内容

公開日:2026/07/08 最終更新日:2026/07/08

JVN#62347140
富士電機製Pupsmanのインストーラにおける複数の脆弱性

富士電機株式会社が提供するPupsmanのインストーラには、複数の脆弱性が存在します。

Pupsman 3.9.0より前のバージョン

富士電機株式会社が提供するPupsmanのインストーラには、次の複数の脆弱性が存在します。

ファイル検索パスの制御不備(CWE-427)

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8
CVE-2026-56437
上記のCVSS評価では、細工されたDLLファイルを危険なファイルと知らずにインストーラと同じフォルダに配置したうえでインストーラを実行するように、ユーザが誘導される状況を想定しています

インストール時の不適切なファイルアクセス権設定(CWE-276)

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
CVE-2026-57895

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

細工されたDLLファイルを同じフォルダに配置した状態でインストーラを実行すると、SYSTEM権限で任意のコードが実行される(CVE-2026-56437)
インストールフォルダ内に悪意のある実行ファイルを配置することが可能となり、結果としてSYSTEM権限で任意のコードが実行される(CVE-2026-57895)

アップデートする
開発者が提供する情報に基づきバージョン3.9.0以降を使用してください。

ベンダ

リンク

富士電機株式会社

Pupsman

Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

CVE-2026-56437

CVE-2026-57895

JVN iPedia

JVNDB-2026-000095

Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.

出典: jvn@jvn.jp
URL: https://jvn.jp/jp/JVN62347140/

時系列

主な数値

影響を受けるPupsmanのバージョン 3.9.0より前バージョン
CVE-2026-56437 CVSS:4.0 基本値 8.4点
CVE-2026-56437 CVSS:3.0 基本値 7.8点
CVE-2026-57895 CVSS:4.0 基本値 8.5点
CVE-2026-57895 CVSS:3.0 基本値 7.8点

この事例から確認すべきポイント

本発表は、富士電機製Pupsmanのインストーラに存在する複数の重大な脆弱性について警告しています。これらの脆弱性は、細工されたDLLファイルや悪意のある実行ファイルを介して、SYSTEM権限での任意のコード実行を可能にするものであり、攻撃が成功した場合の影響は極めて大きいと評価されています。特に、CWE-427(ファイル検索パスの制御不備)はユーザーの誘導を前提とするものの、CWE-276(インストール時の不適切なファイルアクセス権設定)はインストール後に悪意のあるファイルを配置できるため、どちらも深刻なリスクをはらんでいます。企業は、自社システムにおけるPupsmanの利用状況を確認し、速やかにバージョン3.9.0以降へのアップデートを実施することが不可欠です。このようなインストーラに関する脆弱性は、サプライチェーン全体のセキュリティリスクにもつながるため、ソフトウェア開発者にはセキュアな開発プロセスの徹底が、利用者には迅速な情報収集と対応が求められます。

公式出典

更新履歴

公開日: 2026-07-08

関連事例

自社のプレスリリースをPRazeに掲載しませんか?

無料でプレスリリースを掲載する