独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月28日、飴屋／菖蒲が提供する「UTAU」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。石橋由羽氏がIPAに報告を行った。 　「UTAU」は、Windows向けの歌声合成ツール。影響を受けるシステムは以下の通り。 ・UTAU v0.4.19より前のバージョン 　このバージョンには、次の脆弱性が存在する。 ・OSコマンドインジェクション（CVE-2024-28886） 　CVSS:3.0による基本値：5.3 ・パストラバーサル（CVE-2024-32944） 　CVSS:3.0による基本値：3.3 　これらの脆弱性が悪用された場合、ユーザーが細工されたUTAUのプロジェクトファイル（.ustファイル）を開いた際に任意のOSコマンドが実行される（CVE-2024-28886）、ユーザーが細工されたUTAU音源インストーラー（.uarファイル、.zipファイル）をUTAUにインストールすると任意のファイルが配置される（CVE-2024-32944）といった影響を受ける可能性がある。 　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。