「FinalCode Client」に複数の脆弱性 - 上書きインストールを
デジタルアーツのファイル暗号化製品「FinalCode Client」に脆弱性が判明した。すでに製品をインストール済みの場合も最新のインストーラーによる上書きインストールが呼びかけられている。
アクセス権の設定が適切に行われていない脆弱性「CVE-2026-23703」や、インストーラーにおける検索パスの処理に脆弱性「CVE-2026-25191」が判明したもの。
「FinalCode VA版」「FinalCode@Cloud」「m-FILTERシリーズ暗号化強固オプション(FinalCode連携)」に影響があり、脆弱性を悪用されるとインストーラーの実行時やアプリケーションの起動時に管理者権限で任意のコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv4.0」におけるベーススコアは、「CVE-2026-23703」が「8.5」、「CVE-2026-25191」が「8.4」、「CVSSv3.0」ではともに「7.8」と評価されている。
GMOサイバーセキュリティbyイエラエの松本一真氏が情報処理推進機構(IPA)へ脆弱性を報告し、JPCERTコーディネーションセンターが調整を実施した。デジタルアーツでは脆弱性を修正したインストーラーを提供している。
すでに製品がインストール済みの場合も、インストール先であるディレクトリのアクセス権を修正するため、最新のインストーラーによる上書きインストールが呼びかけられている。
(Security NEXT - 2026/02/27 )
ツイート
PR
関連記事
「Drupal」のSQLi脆弱性、悪用確認で米当局が対策呼びかけ
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
