概要
CVE-2026-26033は、UPS Multi-UPS Management Console (MUMC)の特定のバージョンに存在するローカル権限昇格の脆弱性です。この脆弱性は、CWE-428 (Unquoted Search Path or Element) に分類されており、システムドライブ上の特定のディレクトリに書き込み権限を持つユーザーが、SYSTEM権限で任意のコードを実行できる可能性があると報告されています。本脆弱性の深刻度は「HIGH」と評価されています。
影響範囲
本脆弱性の影響を受けると報告されているのは、以下の製品およびバージョンです。
- UPS Multi-UPS Management Console (MUMC) バージョン 01.06.0001 (A03)
他のバージョンについては、詳細情報の確認が必要です。
想定される影響
この脆弱性が悪用された場合、システムドライブ上の特定のディレクトリへの書き込み権限を既に持っているローカルユーザーが、SYSTEM権限で任意のコードを実行する可能性があります。これにより、攻撃者はシステムへの完全な制御を奪い、機密情報の窃取、システムの破壊、マルウェアのインストールなど、深刻な被害につながる恐れがあります。
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者が対象システム上のディレクトリへの書き込み権限を既に持っている必要があります。現在のところ、この脆弱性が実際に悪用されているかどうかの具体的な状況は不明です。
推奨対策
今すぐできる対策(最優先)
- ベンダーから公式パッチやアップデートが提供されている場合は、速やかに適用してください。
- ご使用のMUMCのバージョンが影響を受けるものであるかを確認し、必要に応じてアップグレードを検討してください。
中長期的な対策
- システム上のディレクトリに対するユーザーの書き込み権限を最小限に制限し、不要な権限を与えないようにしてください。
- 定期的なセキュリティ監査を実施し、システムの脆弱性や不審な活動を早期に発見できる体制を構築してください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。しかし、システムドライブ上のディレクトリへの書き込み権限を持つユーザーを厳しく管理し、最小権限の原則を徹底することが、リスクを低減する上で有効である可能性があります。
確認方法
ご使用のUPS Multi-UPS Management Console (MUMC) のバージョンが「01.06.0001 (A03)」であるかを確認してください。製品の管理画面やドキュメントで確認できる場合があります。
参考情報
詳細については、以下の情報を参照してください。
- CVE-2026-26033 – CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-26033