Fujitsu Security Solution AuthConductor Client Basic V2における送信元の確認が不十分な脆弱性

LAC Advisory No.142

デジタルペンテスト部の飯田です。

富士通クライアントコンピューティング株式会社が提供するソフトウェア「Fujitsu Security Solution AuthConductor Client Basic V2」に、送信元の確認が不十分な脆弱性（CVE-2026-20893）が存在することを確認しました。この脆弱性を悪用された場合、Windowsシステムにログイン可能な攻撃者によってSYSTEM権限で任意のコマンドを実行されたり、レジストリを書き換えられたりする恐れがあるため、早急に対策を行う必要があります。

当該ソフトウェアは2019年下期モデルから2025年下期モデルまでの一部の富士通製品に添付されています。まずは当該ソフトウェアがインストールされているか確認することを推奨します。

サイバーセキュリティやラックに関する様々な情報をお届けします。

注意喚起情報をタイムリーに受け取れるメールマガジンの登録はこちら

影響を受けるシステム構成

• AuthConductor Client Basic V2 バージョン2.0.25.0以前を利用しており、顔認証オプションを利用していないか、AuthConductor Client 顔認証オプション V2メディアパック L07以降を利用している場合
• AuthConductor Client Basic V2 バージョン2.0.24.1以前を利用しており、AuthConductor Client 顔認証オプション V2メディアパック L07未満を利用している場合

解説

当該ソフトウェアは一部の富士通製品に添付されているWindowsや業務ソフトウェアへのサインインを代行する認証管理ソフトウェアです。

CVE-2026-20893は、Windowsシステムにログイン可能な攻撃者が当該ソフトウェアに対して、特定の操作を行うことでSYSTEM権限にて任意のコマンドを実行したり、レジストリを書き換えたりすることが可能な脆弱性です。

対策方法

製品開発者が提供する情報^※をもとに、当該ソフトウェアのバージョンをアップデートしてください。

※ 富士通クライアントコンピューティング株式会社 AuthConductor Client Basic V2の脆弱性に関するお知らせ - FMWORLD（法人）:富士通

発見者

飯田 雅裕（株式会社ラック デジタルペンテスト部）

公表までの経緯

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。

JVN#24626628
JVNDB-2026-000001

CVE番号

CVE-2026-20893