独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月7日、Fujitsu Security Solution AuthConductor Client Basic V2における送信元の確認が不十分な脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ラックの飯田雅裕氏が報告を行っている。
また富士通株式会社でも、富士通クライアントコンピューティング株式会社のAuthConductor Client Basic V2の脆弱性についての案内を行っている。対象となるソフトウェアは以下の通り。
・「AuthConductor Client Basic V2」(バージョン2.0.25.0 以前)を利用し、顔認証オプションの利用なし または 「AuthConductor Client 顔認証オプション V2メディアパック」(L07以降)を利用の場合
・「AuthConductor Client Basic V2」(バージョン2.0.24.1 以前)を利用し、「AuthConductor Client 顔認証オプション V2メディアパック」(L07未満)を利用の場合
富士通クライアントコンピューティング株式会社が提供するFujitsu Security Solution AuthConductor Client Basic V2には、送信元の確認が不十分な脆弱性(CVE-2026-20893)が存在し、当該製品がインストールされたWindowsシステムにログイン可能な攻撃者によって、SYSTEM権限で任意のコマンドを実行されたり、レジストリを書き換えられたりする可能性がある。
富士通クライアントコンピューティングでは、ドライバダウンロードページに公開されている「AuthConductor Client Basic V2」をダウンロードし、下記の最新バージョンにアップデートするよう呼びかけている。
・「AuthConductor Client Basic V2」(バージョン2.0.25.0 以前)を利用し、顔認証オプションの利用なし、または「AuthConductor Client 顔認証オプション V2メディアパック」(L07以降)を利用の場合は「AuthConductor Client Basic V2」(バージョン2.0.25.1 以降)にアップデート
・「AuthConductor Client Basic V2」(バージョン2.0.24.1 以前)を利用し、「AuthConductor Client 顔認証オプション V2メディアパック」(L07未満)を利用の場合は、「AuthConductor Client Basic V2」(バージョン2.0.24.3)にアップデート
