つみかさね

CVE-2026-56137

High(7.8)

RPGツクール MV/MZのOSコマンドインジェクション CVE-2026-56137:影響範囲と対応方法

公開日: 2026-07-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
RPGツクール MVGotcha Gotcha Games株式会社JVN参照
RPGツクール MZGotcha Gotcha Games株式会社JVN参照

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用しているRPGツクール MV/MZのバージョンをJVN情報と照合する
  2. 2開発元が提供する修正版へアップデートする
  3. 3ゲームを配布している場合は修正版へ更新したパッケージを再配布する

影響対象

RPGツクール MV/MZ 開発者・配布者セーブデータを共有するプレイヤー

補足

  • -攻撃にはユーザーが細工されたセーブデータを読み込む操作が必要です
  • -一般プレイヤーは出所不明のセーブデータを読み込まないよう注意してください
CVERPGツクールゲームエンジンOSコマンドインジェクションJVN

30秒で判断

対応すべき人:

  • RPGツクール MV または MZ でゲームを開発・配布している方
  • RPGツクール MV/MZ 製のゲームをプレイヤーとしてプレイしている方(セーブデータ共有がある場合)

対応不要な人:

  • RPGツクール MV/MZ を使用していない
  • 開発者から提供される修正版のゲームを使用している

確認方法: 使用している RPGツクール MV/MZ のバージョンを確認し、JVN 公開情報と照合してください。


概要

Gotcha Gotcha Games株式会社が提供するゲーム制作ソフト RPGツクール MV および RPGツクール MZ のセーブデータ読み込み処理に OS コマンドインジェクション脆弱性が確認されました(CVE-2026-56137、CVSS 7.8)。

セーブデータの読み込み処理において、細工されたセーブデータの内容を適切に処理できず、悪意のある内容が含まれる場合に OS コマンドとして実行されてしまう問題です(CWE-78)。

攻撃シナリオとしては、悪意のある第三者が細工したセーブデータを配布し、ユーザーがそれを読み込むことで攻撃が成立します。セーブデータの共有・配布がある RPG コミュニティ等では注意が必要です。

本脆弱性は情報セキュリティ早期警戒パートナーシップに基づき GMO Flatt Security株式会社の井手 脩太氏が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

CVSSベクトル

属性
Attack VectorLocal
Attack ComplexityLow
Privileges RequiredNone
User InteractionRequired(ユーザー操作要:セーブデータを読み込む操作)
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh

影響を受けるソフトウェア

製品備考
RPGツクール MVGotcha Gotcha Games製。対象バージョンはJVN参照
RPGツクール MZGotcha Gotcha Games製。対象バージョンはJVN参照

修正バージョンと回避策

開発元(Gotcha Gotcha Games株式会社)から修正版が提供されています。JVN詳細ページを参照し、最新バージョンへアップデートしてください。

回避策:

  • 出所不明のセーブデータを読み込まない
  • 信頼できないソースから取得したセーブデータの使用を避ける

関連リンク


データソース: JVN iPedia (IPA/JPCERT/CC), NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。