独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月26日、FinalCode Clientのインストーラーにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。
FinalCode Ver.5、5.43R01より前のバージョン
FinalCode Ver.6、6.51R01より前のバージョン
デジタルアーツ株式会社が提供するFinalCode Clientのインストーラーには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・インストール時のアクセス権設定が不適切(CVE-2026-23703)
→管理者権限を持っていないユーザーによって、SYSTEM権限で任意のコードを実行される
・ファイル検索パスの制御不備(CVE-2026-25191)
→細工されたDLLファイルとインストーラーを同じディレクトリに置いてインストーラーを実行するよう誘導された場合、任意のコードがインストーラーの実行権限で実行される
開発者は本脆弱性を修正したインストーラーを提供しており、JVNでは製品をインストールする際は最新版のインストーラーを使用するよう呼びかけている。また、すでに当該製品をインストールしてある場合も、インストール先ディレクトリのアクセス権設定を修正するために、最新のインストーラーを使用して上書きインストールするよう呼びかけている。
