独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月30日、RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMO Flatt Security株式会社の井手脩太氏が報告を行っている。影響を受けるシステムは以下の通り。
RPGツクールMV バージョン 1.6.3およびそれ以前
RPGツクールMZ バージョン 1.10.0およびそれ以前
株式会社Gotcha Gotcha Gamesが提供するゲーム制作ソフトRPGツクールMVおよびMZには、ゲームの進行状況や関連データを保存するセーブデータ機能が用意されており、ユーザはゲームの進行状況をセーブデータに保存し、後でこのセーブデータを読み込むことで保存時点からゲームを再開できる。
RPGツクールMVおよびMZのセーブデータ機能では、セーブデータの読み込み処理において細工された内容を適切に扱うことができず、OSコマンドインジェクション(CVE-2026-56137)に悪用される可能性があり、細工されたセーブデータを読み込んだ場合、任意のOSコマンドが実行される可能性がある。
開発者は、信頼できないセーブデータを読み込まないことを推奨している。
