解説
本セキュリティ情報では、Sitecore 製品における重要な脆弱性(SC2022-001-500712)と、その解決策についてお知らせします。
本問題は、クロスサイト スクリプティング(XSS)の脆弱性に関連しており、認証済みのSitecore Shell ユーザーが、攻撃者によってSitecore Experience Platform / CMSおよびSitecore Managed Cloudで悪意のあるカスタムJSコードを実行させられる可能性があります。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。 また、お客様の環境をセキュリティに対応したバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。
この脆弱性は、以下のSitecore 製品に影響を与えます。
| Sitecore製品 | 影響 |
| Sitecore Experience Platform / CMS | + |
| Sitecore Managed Cloud | + |
| Sitecore Content Hub | - |
| Sitecore CDP & Sitecore Personalize (旧称 Boxever) | - |
| Sitecore OrderCloud(旧称Four51 OrderCloud) | - |
| Sitecore Storefront(旧称Four51 Storefront) | - |
| Moosend | - |
| Sitecore Send | - |
| Sitecore Discover (旧称Reflektion) | - |
| Sitecore Commerce Server | - |
凡例:
「+」: 脆弱性の影響を受ける製品
「-」: 脆弱性の影響を受けない製品
このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報は、更新履歴の節に詳細な一覧が提供されています。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
重大度の定義
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
バージョン
影響を受けるSitecore Experience Platform / CMSのバージョン
脆弱性SC2022-001-500712は、以下のSitecore Experience Platformバージョンに影響を与えます:
- CMS 7.2 Initial Release - 7.2 Update-6
- XP 7.5 Initial Release - 7.5 Update-2
- XP 8.0 Initial Release - 8.0 Update-7
- XP 8.1 Initial Release - 8.1 Update-3
- XP 8.2 Initial Release - 8.2 Update-7
- XP 9.0 Initial Release - 9.0 Update-2
- XP 9.1 Initial Release - 9.1 Update 1
- XP 9.2 Initial Release
- XP 9.3 Initial Release
- XP 10.0 Initial Release - 10.0 Update-3
- XP 10.1 Initial Release - 10.1 Update-2
- XP 10.2 Initial Release
影響を受けないSitecore Experience Platformバージョン
「影響を受けるSitecore Experience Platform / CMSのバージョン」の節に記載されていないバージョンについては、この脆弱性の影響はありません。
影響を受けるSitecore Managed Cloudバージョン
影響を受けるSitecore Experience Platform / CMSバージョンを実行されているSitecore Managed Cloud Standardのお客様は影響を受けます。
影響を受けないSitecore Managed Cloudバージョン
「影響を受けるSitecore Experience Platform / CMSのバージョン」の節に記載されていないバージョンを実行されているSitecore Managed Cloud Standardのお客様は影響を受けません。
解決策
この脆弱性の影響を緩和するには、影響を受けるSitecoreシステムに修正プログラムを適用していただくことをお薦めいたします。アーカイブ内のreadmeファイルのインストールの指示に従ってください(ファイルが存在する場合)。
- 8.0 Initial Release - 8.1 Update-3:Sitecore.Support.500712-8.1.3.0.zip
- 8.2 Initial Release - Update-7:Sitecore.Support.500712-8.2.6.0.zip
- 9.0 Initial Release:Sitecore.Support.500712.zip
- 9.0 Update-1:SC Hotfix 513226-1.zip
- 9.0 Update-2:SC Hotfix 513227-1.zip
- 9.1 Initial Release: KB1001412に記載されている累積hotfixをダウンロードしてインストールします。
- 9.1 Update-1: KB1001414に記載されている累積hotfixをダウンロードしてインストールします。
- 9.2 Initial Release: KB1001444に記載されている累積hotfixをダウンロードしてインストールします。
- 9.3 Initial Release: KB1001415に記載されている累積hotfixをダウンロードしてインストールします。
- 10.0 Initial Release: KB1001419に記載されている累積hotfixをダウンロードしてインストールします。
- 10.0 Update-1: KB1001420に記載されている累積hotfixをダウンロードしてインストールします。
- 10.0 Update-2: KB1001553に記載されている累積hotfixをダウンロードしてインストールします。
- 10.0 Update-3: KB1001551に記載されている累積hotfixをダウンロードしてインストールします。
- 10.1: KB1001554に記載されている対応する累積hotfixをダウンロードしてインストールします(「いずれかのSitecore XPアップデート上にインストール」セクションの手順を推奨)。
- 10.2: KB1001564に記載されている対応する累積hotfixをダウンロードしてインストールします(「いずれかのSitecore XPアップデート上にインストール」セクションの手順を推奨)。
※注:
コンテナー環境で動作しているSitecore Experience Platformバージョン10.1および10.2の場合、上記にリンクされている累積的な修正(Cumulative Fix)に関する記事に記載されているガイダンスに従って、修正を適用してください。
コンテナー環境で動作しているSitecore Experience Platformバージョン10.0の場合、以下のコンテナー専用のHotfixパッケージをダウンロードし、インストールしてください:
- 10.0 Initial Release: SC Hotfix 513233-1 container.zip
- 10.0 Update-1: SC Hotfix 513234-1 container.zip
- 10.0 Update-2: SC Hotfix 513235-1 container.zip
- 10.0 Update-3: SC Hotfix 513236-1 container.zip
Sitecore Experience Platform 9.0 Update-1以降の場合、一時的な解決策として次のパッチを適用できます:
Sitecore.Support.500712.zip
コンテナー環境の場合、コピー コマンドを使用してコンテナー イメージにパッチ ファイルを追加していただけます。
※注:Hotfixには、Sitecore Experience Platformの特定のバージョンで利用可能な多くのhotfixと改善点が含まれているため、可能なかぎりhotfixを適用していただくことを強くお勧めいたします。
Sitecore CMSバージョン7.2およびSitecore XP 7.5の場合も、以下のパッチを適用できます:
Sitecore.Support.500712-8.1.3.0.zip
なお、Sitecoreバージョン7.2および7.5は、Sitecore 製品のサポート ライフサイクルに記載されているように、既に維持サポート フェーズに入っており、今後のセキュリティの更新が提供されないことにご注意ください。Sitecoreは、お客様のSitecore Experience Platformをセキュリティに対応したバージョンに更新することを推奨いたします。
解決策の検証
修正プログラムを適用した後、インストールが正常に実施されたかどうかを検証しなければならない場合があります。その場合、適用された解決策に応じて、以下の対応する検証方法のいずれかの実施を検討してください:
SC Hotfixパッケージの検証
解決策が正常にインストールされているかどうかを確認するには、「Website\bin\Sitecore.Client.dll」ファイルの製品バージョンのプロパティがHotfix番号と一致しているかどうかを確認します。例えば、SC Hotfix 513235-1.zipの場合、「Sitecore.Client.dll」の製品バージョンのプロパティには、513235が表示されるようになります。
SC プレリリース パッケージの検証
プレリリース パッケージ(KB1001554 またはKB1001564 を参照してください)が正常にインストールされているかを確認するには、以下の条件が満たされていることを確認してください:
- Sitecore Experience Platformバージョン10.1系列の場合、「Website\bin\Sitecore.Client.dll」ファイルのバージョンが16.0.42以降であることを確認します:
- Sitecore Experience Platformバージョン10.2系列の場合、「Website\bin\Sitecore.Client.dll」ファイルのバージョンが17.0.1以降であることを確認します:
Sitecore.Support.500712.zip パッケージの検証
パッケージが正常にインストールされているかどうかを検証するには、「Sitecore.Support.500712.dll」ファイルが「Website\bin」フォルダに含まれているかどうかを確認してください。
よくある質問
Q.この脆弱性は、XP トポロジーに特有の問題ですか?
A.いいえ。この問題は単一インスタンス、複数インスタンス、すべてのトポロジーを含む、影響を受けるバージョンを実行しているSitecoreシステムに当てはまります。
提供されている修正プログラムは、すべてのトポロジーに対応します。
Q.この問題はSitecore Experience Commerceロール(Authoring、DevOps、Minions、Shops、BizFX、Identity Server)に影響を与えますか?
A.いいえ、この事象はSitecore Experience Commerceのロールには影響を与えません。
ただし、Sitecore Experience Platformには影響があるため、Sitecore Experience CommerceがインストールされたSitecore Experience Platformソリューションは影響を受けます。
Q.この問題はすべてのSitecore Coreサーバー ロール(Content Delivery、Content Editing、Reporting、Processing、EXM Dispatch)に影響を与えますか?
A.はい、この事象はすべてのSitecore Coreサーバー ロールに影響を与えます。
Q.CD、ReportingおよびProcessingロールに解決策を適用するにはどうすればよいですか?
A.修正プログラムのインストールの際にCM インスタンスで追加または変更されたファイルをコピーします。
HotfixのパッケージはZIP ファイルですので、解凍して内部を検査することができます。
パッケージ内部の「addedfiles」および「changedfiles」のフォルダには、サイトのルート フォルダにコピーする必要があるファイルが含まれています。
なお、CMインスタンスで.update パッケージをインストールした際に、追加のファイル(例えば、\App_Config\Include\DataFolder.configなど)が作成される可能性があることにご注意ください。
作成されたファイルは、Sitecore 更新インストール ウィザードの「解析結果」に記載されます。
このファイルをコピーし、CD、Reporting、およびProcessingのロールに配置する必要があります。
Q.弊社ソリューションでは、一部のアセンブリがすでに変更されています。既存の変更に加えて新しい解決策をインストールすることはできますか?
A.はい。提供しているHotfixは累積的なものです。Hotfix 作成日時を確認するには、Hotfix パッケージのリンクを参照してください。
このHotfixをインストールする前に、新しいHotfixがインストールされていないことを確認してください。
不明な点がある場合は、Sitecore サポート ポータルでお問い合わせください。
セキュリティ情報の公開日の時点に掲載されているすべてのリファレンスは、Sitecore XPの各バージョンの最新Hotfixを指しています。
Q.Sitecore NuGet Feedは、修正されたアセンブリを含むように更新されますか?
A.いいえ、SitecoreのHotfixはSitecore NuGet フィードに公開されません。
必要に応じて、カスタム フィードを作成していただけます。詳細については、以下のリンクをご参照ください:
https://docs.microsoft.com/ja-jp/nuget/hosting-packages/overview
更新履歴(英語版)
- 2022年1月4日:記事が公開されました。
- 2022年1月5日:よくある質問の節が追加されました。
- 2022年1月6日:コンテナー化環境に関する情報が追加されました。Sitecore.Support.500712.zipの代替パッチ ファイルが適用できるバージョンのリストが拡充されました。バージョン7.xおよび8.x向けのパッチへのリンクが互換性のある.NET Frameworkバージョンのサポートを含めて更新されました。
- 2022年1月10日:コンテナー環境で動作しているSitecore XPバージョン10.0のHotfixパッケージを追加しました。
「よくある質問」の節に、解決策を適用する手順を追加しました。
記事のスタイルに軽微な変更を実施しました。 - 2022年1月12日:脆弱性に影響を与えないSitecore 製品の一覧にSitecore Experience Commerceロール(Authoring, DevOps, Minions, Shops, BizFX, Identity Server) を追加しました。
- 2022年1月13日:Sitecore Experience Platform 9.3 Initial ReleaseのHotfixパッケージ を更新しました。
- 2022年1月18日:当該パッチはSitecore 9.0 Update-1以降の一時的な解決策にすぎないという注記を追加しました。Hotfixは、通常のリリース サイクルに基づいてインストールする必要があります。
- 2022年2月1日:影響を受けるバージョンのスタイルに些細な変更を加えました。
- 2022年2月17日:Sitecore 9.1 Update-1の更新されたhotfixを追加しました。
- 2022年6月16日:記事のスタイルと構成に小さな変更を加えました。影響を受けない製品にSitecore Commerce Serverを追加しました。以下のzipファイルのリンクを更新し、一般公開しました:
Sitecore.Support.500712.zip、SC Hotfix 513227-1.zip、SC Hotfix 513228-1.zip、SC Hotfix 513230-1.zip、SC Hotfix 513233-1.zip、SC Hotfix 513235-1.zip、SC Hotfix 513236-1.zip。 - 2022年12月22日:Sitecore 9.3 Initial Release専用のhotfixが更新され、本記事に追加されました。 「解決策」セクションに記載されている修正プログラムへのリンクが更新されました。記事のスタイルに軽微な調整を実施しました。Fixed InバージョンにSitecore XP 10.3 Initial Releaseを追加しました。
- 2023年10月27日:解決策セクションのリンクを、特定のhotfixのファイルへのリンクから最新の累積hotfixが記載されているKB記事へのリンクに更新しました。