Sitecoreは、高機能なCMS(コンテンツ管理システム)です。
コンテンツの管理ができるだけでなく、パーソナライズ、マーケティングオートメーション、Eコマース連携といった周辺の機能までも提供できます。
このため、多くの環境で利用されています。
このSitecoreが、脅威アクターに悪用されていることが確認されています。
- CVE-2025-53690
この脆弱性は、よく見るタイプのものとは異なります。
提供されているソフトウェア部分そのものが脆弱性の対象ではありません。
では、何が問題なのか。
仕組みの利用方法を案内する利用ガイドコンテンツがあるのですが、その中の操作の説明の中にASP.NETのキーの設定を説明する部分があります。
その部分で、sample machine keyが実際に機能するものを使って説明がされています。
これをその説明のままに利用者が利用して設定すると、その状態にあることを知っている誰もがそのサイトで意図しない利用ができてしまうようになるという問題です。
この脆弱性を悪用すると、脅威アクターはこの脆弱性のあるサイトに対してリモートコード実行を実施することができます。
この脆弱性は、公開されているソフトウェアの問題ではなく、そのソフトウェアが利用しているASP.NETの問題でもなく、それらの利用方法を公開しているが説明コンテンツの問題というわけです。
いうなれば、利用ガイドの脆弱性でしょうか。
ソフトウェアやサービスの提供者は、利用者が困らないように詳細な利用手順を公開しようとします。
これそのものは、とても良いことです。
しかし、この例のような事態となってしまうこともあることを踏まえ、公開コンテンツの内容を見直す必要があるのかもしれませんね。
ViewState Deserialization Zero-Day Vulnerability in Sitecore Products (CVE-2025-53690)
https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/?hl=en
| この記事をシェア |
|
|---|
