RPGツクールMV および MZ に OSコマンドインジェクションの脆弱性 | ScanNetSecurity
2026.07.02(木)

RPGツクールMV および MZ に OSコマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月30日、RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月30日、RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMO Flatt Security株式会社の井手脩太氏が報告を行っている。影響を受けるシステムは以下の通り。

RPGツクールMV バージョン 1.6.3およびそれ以前
RPGツクールMZ バージョン 1.10.0およびそれ以前

 株式会社Gotcha Gotcha Gamesが提供するゲーム制作ソフトRPGツクールMVおよびMZには、ゲームの進行状況や関連データを保存するセーブデータ機能が用意されており、ユーザはゲームの進行状況をセーブデータに保存し、後でこのセーブデータを読み込むことで保存時点からゲームを再開できる。

 RPGツクールMVおよびMZのセーブデータ機能では、セーブデータの読み込み処理において細工された内容を適切に扱うことができず、OSコマンドインジェクション(CVE-2026-56137)に悪用される可能性があり、細工されたセーブデータを読み込んだ場合、任意のOSコマンドが実行される可能性がある。

 開発者は、信頼できないセーブデータを読み込まないことを推奨している。

《ScanNetSecurity》

関連記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)

×