本セキュリティ情報では、Sitecoreソフトウェアにおける重要な脆弱性(SC2024-001-619349)と、その解決策についてお知らせいたします。本件脆弱性には、認証されていない任意のファイルの読み取りを許す危険性があります。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。
この脆弱性は、以下のSitecore製品に影響を与えます。
| Sitecore製品 | 影響 |
| Experience Manager (XM) | 影響あり* |
| Experience Platform (XP) | |
| Experience Commerce (XС) | |
| Managed Cloud | 影響あり** |
| XM Cloud | 影響なし |
| Content Hub | 影響なし |
| CDP and Personalize (旧称Boxever) | 影響なし |
| OrderCloud (旧称Four51 OrderCloud) | 影響なし |
| Storefront (旧称Four51 Storefront) | 影響なし |
| Moosend | 影響なし |
| Send | 影響なし |
| Discover (旧称Reflektion) | 影響なし |
| Search | 影響なし |
| Commerce Server | 影響なし |
* この脆弱性は、8.0 Initial Releaseから10.4 Initial Releaseの全てのExperience Platformトポロジー(XM、XP、XC)に影響します。また、この問題はContent Management(CM)およびスタンドアローン インスタンスに影響を与えます。PaaSソリューションおよびコンテナー化ソリューションも影響を受けます。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。Content Management(CM)およびスタンドアローンのManaged Cloudインスタンスのみが影響を受けます。
このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
この脆弱性の影響を緩和するため、影響を受けるSitecoreシステムに、以下の修正パッチを適用していただくことをお勧めいたします。Sitecore公式ドキュメントおよび関連するKB記事からのガイドラインに従ってください。
註: Sitecoreではバージョン10.1用のマイナー バージョンを準備しており、まもなくご利用いただけるようになる予定です。
Sitecoreではご都合が付き次第、推奨される解決策セクションに記載されている適切な修正プログラムをインストールしていただくことを強く推奨いたします。ただし、修正プログラムをただちに適用することが不可能な場合、以下の一時的な解決策を影響を受けるSitecoreシステムに適用していただくことも可能です。
Q. この問題はすべてのSitecore XP Coreサーバー ロール(Content Delivery、Content Management、Reporting、Processing、EXM Dispatch)に影響を与えますか?
A. この問題はContent Management(CM)およびスタンドアローンのロールにのみ影響を与えます。上記の解決策を対象のロールに適用してください。
Q. 近いうちにAzure Marketplaceを使用してXM/XP/XC(10.3 など)を今インストールする場合、上記のhotfixは含まれますか? それとも、手動で適用する必要がありますか? また、HotfixはAzure Marketplace上に自動的に公開されますか?
A. いいえ、hotfixは自動的にはAzure Marketplaceに公開されません。Azure Marketplaceは、dev.sitecore.netでリリースされたものと同じバージョンをサポートしています。リリースされているバージョンで問題が修正されていない場合、上記の解決策をインスタンスに適用してください。
Q. 9.0.2またはそれ以前のバージョンの場合、どのように問題を解決すればよいですか?
A. 9.0.2またはそれ以前のバージョンに関しては、以下の指示に従ってください。
ただし、9.0.2以前のバージョンは既に維持(Sustaining)サポートフェーズに入っており、Sitecoreでは今後それらのバージョン向けにはHotfixを提供いたしません。これらの点を踏まえて、より新しいバージョンにアップグレードし、対応するhotfixを適用していただくことをお勧めいたします。
Q. この脆弱性に関する更なる詳細情報を提供することは可能ですか?
A. いいえ、大変申し訳ございませんが、セキュリティ上の理由により詳細情報を提供することはできません。具体的には、悪用シナリオの流出につながり、様々なお客様により深刻な影響を与える可能性があるためです。
Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか?
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。