Windows向けクライアント用プログラムで報告されている脆弱性への対応について（CVE-2025- | ESETサポート情報 | 法人向けサーバー・クライアント用製品

サポート情報　（法人向けサーバー・クライアント用製品）

法人向けサーバー・クライアント用製品カテゴリー一覧 > 不具合・トラブル > Windows向けクライアント用プログラムで報告されている脆弱性への対応について（CVE-2025-5028）

Windows向けクライアント用プログラムで報告されている脆弱性への対応について（CVE-2025-5028）

カテゴリー :

Windows向けクライアント用プログラムで報告されている脆弱性（CVE-2025-5028）への対応についてご案内いたします。

本脆弱性の詳細は以下の通りです。

◆ 脆弱性の対象となるプログラム

◆ 対象OS

◆ 脆弱性の情報

◆ 想定される影響

◆ 対応方法

本脆弱性は、ESETプログラムのインストーラーに存在します。

そのため、プログラムがインストールされ、動作している環境の場合は、本脆弱性による影響は受けません。

今後、ESETプログラムのインストールをする場合は、修正バージョンのインストーラーをご利用いただきますようお願いします。

◆ 脆弱性の対象となる製品

◆ 脆弱性の対象となるプログラム

ESET PROTECT クラウド版にて 7月2日以前、ESET PROTECT オンプレミス版にて 7月3日以前に作成された以下の .exe のライブインストーラー / オールインワンインストーラーのみ対象です。

ユーザーズサイト上で公開している .msi のインストーラーは対象ではありません。

プログラム名	バージョン
ESET Endpoint Security ESET Endpoint アンチウイルス	V12.0	V12.0.2049.0 以前
	V11.1	V11.1.2059.1 以前
	V11.0	V11.0.2044.1 以前
	V10.1	V10.1.2065.2 以前
	V9.1	V9.1.2071.1 以前

※ 現在ご利用中のバージョンの確認方法はこちらをご参照ください。

◆ 対象OS

動作環境内のすべてのOS

◆ 脆弱性の情報

対象プログラムのインストーラーに、任意のファイル削除、およびローカル権限昇格の脆弱性が存在します。

【参考】

[CA8838] Arbitrary file deletion vulnerability in ESET product installers on Windows fixed
（リンクをクリックすると、ESET社のWebサイト（英語）が別ウインドウで開きます。）

◆ 想定される影響

あらかじめインストールディレクトリを作成し、リダイレクトの設定をしておくことで、権限の低いコードを実行できる攻撃者が、任意のファイルを削除できてしまう可能性があります。また、その結果、権限の昇格がおこなわれる可能性があります。

なお、本脆弱性は、インストールされたESETプログラム自体ではなく、インストーラーに存在します。

そのため、ESETプログラムがインストールされ、動作している環境である場合、本脆弱性による影響は受けません。

◆ 対応方法

セキュリティ管理ツールにて、本脆弱性を修正したプログラムのインストーラーを公開しております。

今後、ESETプログラムをインストールする場合は、現在公開されている以下の【修正プログラム】のインストーラーをご利用いただきますようお願いします。

【修正プログラム】

プログラム名	バージョン
ESET Endpoint Security ESET Endpoint アンチウイルス	V12.0.2058.0 以降すべてのバージョン
	V11.1	V11.1.2062.1 以降