お知らせ

【重要】不適切なファイルアクセス権設定の脆弱性（CVE-2026-39454）

2026年4月20日

Ｓｋｙ株式会社

平素より弊社商品をご愛顧いただき、誠にありがとうございます。
このたび、弊社商品「SKYSEA Client View」および「SKYMEC IT Manager」において、不適切なファイルアクセス権設定の脆弱性が確認されました。

管理者権限を持たない一般ユーザーによって、当該商品のインストールフォルダ内のファイルを改変されたり任意のファイルを設置されたりする可能性があります。結果として、管理者権限で任意のコードを実行される可能性があります。

本脆弱性は、コンピューター内の実行プロセスに留まる脆弱性であることからリモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。

また、プログラムの稼働中には影響を受けないため、既に「SKYSEA Client View」および「SKYMEC IT Manager」をインストール済みの端末への対処は不要です。

影響を受けるプログラムの詳細は、以下のとおりです。

CVE識別番号（CVE-ID）	CVE-2026-39454
製品	SKYSEA Client View SKYMEC IT Manager
対象バージョン	(SKYSEA Client View) ～ Ver.21.200.07j (SKYMEC IT Manager) ～ Ver.2024.005.10a
対象プログラム	管理機端末機スタンドアロン端末機稼働監視端末機持込端末機 ※いずれもWindows OSが対象です。
CVSS 4.0スコア	8.5
CVSS 3.0スコア	7.8

本脆弱性の対策として、SKYSEA Client View 保守契約ユーザー用Webサイトにて、アップデートモジュールならびに、修正モジュールの提供を行っております。

お手数をおかけいたしますが、Ver.21.210.01f以降へのアップデートを実施いただくか、マスターサーバーにて修正モジュールを適用してください。また本対策の実施前に作成された部署情報付きインストーラーを保有している場合には再作成をお願いいたします。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_3286.html
※ログインには、ユーザーIDとパスワードが必要です。

脆弱性（CVE-2026-39454）に関するFAQ
https://sp.skyseaclientview.net/faq/detail_1160.html
※ログインには、ユーザーIDとパスワードが必要です。

本脆弱性への対策は、2026年4月16日に弊社にて実施済みです。今後、新規に端末機をインストールする際には、管理コンソールより最新の端末機インストーラーをダウンロードしてご利用ください。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_3293.html
※ログインには、ユーザーIDとパスワードが必要です。

脆弱性（CVE-2026-39454）に関するFAQ
https://sp.skyseaclientview.net/faq/detail_1161.html
※ログインには、ユーザーIDとパスワードが必要です。

本脆弱性の対策として、修正モジュールを提供しております。お手数をおかけいたしますが、マスターサーバーにて修正モジュールを適用してください。また本対策の実施前に作成された部署情報付きインストーラーを保有している場合には再作成をお願いいたします。

また、本脆弱性に対応したアップデートモジュールも後日提供予定です。提供開始の際には、改めて保守契約ユーザー用Webサイトにてお知らせいたします。

保守契約ユーザー用Webサイト
https://sp.skymec.net/topics/detail_1414.html
※ログインには、ユーザーIDとパスワードが必要です。

脆弱性（CVE-2026-39454）に関するFAQ
https://sp.skymec.net/faq/detail_605.html
※ログインには、ユーザーIDとパスワードが必要です。

※本脆弱性に関しては、脆弱性情報ハンドリングポリシーに従い、以下の対応を弊社にて実施しております。

ご利用の皆さまには大変ご迷惑をおかけいたしますが、何とぞよろしくお願いいたします。