本セキュリティ情報では、Sitecore JSS React Sample Applicationにおける重大な脆弱性(SC2020-003-435698)と、その解決策についてお知らいたします。
この脆弱性により、あるユーザー向けページの内容が他ユーザーに表示されてしまう可能性があります。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。 また、お客様の環境をセキュリティに対応したバージョンに維持し、遅滞なく適用していただくことを推奨いたします。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
影響を受けるバージョン
脆弱性SC2020-003-435698は、JSS 11.0.0からJSS 14.0.1を含め、すべてのSitecore JSS React Sample Application バージョンに影響を与えます。
影響を受けないバージョン
本問題を解決するJSS向けJSS React Sample Applicationの最新バージョンが公開されています。ただし、拡張・カスタマイズを前提としたサンプル コードに問題があるため、貴社のソリューションに合わせて変更する必要があります。
解決策の検証
解決策は、Sitecoreの配布物ではなくサンプル コードとして提供されます。そのため、貴社のアプリケーションのサーバーサイドJavaScriptコードで、グローバル変数またはシングルトンを使用してページの状態(page state)を保存しないようにすることで、解決策が正常に適用されたかどうかを検証することをお薦めします。グローバル変数には、クラスまたは関数のコンテキスト外で定義されたものを含みます(例)。シングルトンには、「export default new」を使用するものを含みます(例)。