概要

本セキュリティ情報では、解決策が存在する高レベルの脆弱性（CVE-2025-3600）についてお知らせいたします。

この問題は、Telerik UI for ASP.NET AJAX（バージョン 2011.2.712～2025.1.218）に関係しています。

SitecoreはTelerikのUIコントロールを一部使用しております。Sitecoreのお客様とパートナーの皆様には、以下の情報を確認し、推奨される解決策を適用することをお勧めします。この問題は、コンテンツ管理（Cotent Management）、スタンドアロン（Standalone）および専用ディスパッチサーバー（存在する場合）に影響します。

この脆弱性は、以下のSitecore製品に影響を与える可能性があります。

Sitecore 製品	影響
Experience Manager (XM)	影響あり*
Experience Platform (XP)
Experience Commerce (XС)
Managed Cloud	影響あり**
XM Cloud	影響なし
Content Hub	影響なし
CDP and Personalize (旧称 Boxever)	影響なし
OrderCloud (旧称 Four51 OrderCloud)	影響なし
Storefront (旧称 Four51 Storefront)	影響なし
Moosend	影響なし
Send	影響なし
Discover (旧称 Reflektion)	影響なし
Commerce Server	影響なし

* この脆弱性は全てのExperience Platformトポロジー（XM、XP、XC）に影響します。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。

このセキュリティ情報は、新たな詳細が判明次第、追加更新される可能性があります。すべての更新情報の詳細な一覧は、更新履歴セクションに記載されています。 

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。 

解決策

重要な注意事項: 下記のアプローチを進めてweb.configを更新する前に、URL RewriteモジュールがIISにインストールされていることを確認してください。これが存在しない場合、アプリケーションは起動しません。

この脆弱性を軽減するには、IIS URL書き換えルールを使用して悪意のあるリクエストを拒否してください。

Telerik.Web.UI.WebResource.axdハンドラへのリクエストに次のルールを適用し、「prtype」パラメータを含むリクエストをすべてブロックしてください。

<rewrite>
 <rules>
  <rule name="Allow RadAsyncUpload and RadCloudUpload Post Requests" stopProcessing="true">
   <match url="Telerik.Web.UI.WebResource.axd" />
   <conditions logicalGrouping="MatchAll">
    <add input="{UrlDecode:{QUERY_STRING}}" pattern="^type=(rau|rcu)$" ignoreCase="true" />
    <add input="{REQUEST_METHOD}" pattern="^POST$" ignoreCase="true" />
   </conditions>
   <action type="None" />
  </rule>
  <rule name="Block all GET requests containing Content-Type" stopProcessing="true">
   <match url="Telerik.Web.UI.WebResource.axd" ignoreCase="true" />
   <conditions logicalGrouping="MatchAll">
    <add input="{REQUEST_METHOD}" pattern="^GET$" ignoreCase="true" />
    <add input="{HTTP_CONTENT_TYPE}" pattern=".+" ignoreCase="true" />
   </conditions>
   <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Request blocked" />
  </rule>
  <rule name="Block PRType and Encoded Attacks" stopProcessing="true">
   <match url="Telerik.Web.UI.WebResource.axd" ignoreCase="true" />
   <conditions logicalGrouping="MatchAny">
    <add input="{UrlDecode:{QUERY_STRING}}" pattern="prtype=" ignoreCase="true" />
    <add input="{UrlDecode:{HTTP_COOKIE}}" pattern="prtype=" ignoreCase="true" />
    <add input="{REQUEST_METHOD}" pattern="^GET$" negate="true" ignoreCase="true" />
   </conditions>
   <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Request blocked" />
  </rule>
 </rules>
</rewrite>

 

コンテナ化された環境の場合は、次のリンク先で説明されているようにXDT変換を追加してください。 
https://doc.sitecore.com/xp/ja/developers/100/developer-tools/applying-configuration-transforms.html

公式のSitecore Dockerイメージでは、デフォルトではIISコンテナー内でURL Rewriteモジュールが通常有効化されていないことにご注意下さい。以下のXDT変換を有効化するのと合わせて、モジュールも有効化してください。

<configuration xmlns:xdt="http://schemas.microsoft.com/XML-Document-Transform">
  <system.webServer>
    <rewrite xdt:Transform="InsertIfMissing">
      <rules xdt:Transform="InsertIfMissing">
        <rule name="Allow RadAsyncUpload and RadCloudUpload Post Requests" stopProcessing="true" xdt:Transform="InsertIfMissing">
          <match url="Telerik.Web.UI.WebResource.axd" />
          <conditions logicalGrouping="MatchAll">
            <add input="{UrlDecode:{QUERY_STRING}}" pattern="^type=(rau|rcu)$" ignoreCase="true" />
            <add input="{REQUEST_METHOD}" pattern="^POST$" ignoreCase="true" />
          </conditions>
          <action type="None" />
        </rule>
        <rule name="Block all GET requests containing Content-Type" stopProcessing="true" xdt:Transform="InsertIfMissing">
          <match url="Telerik.Web.UI.WebResource.axd" ignoreCase="true" />
          <conditions logicalGrouping="MatchAll">
            <add input="{REQUEST_METHOD}" pattern="^GET$" ignoreCase="true" />
            <add input="{HTTP_CONTENT_TYPE}" pattern=".+" ignoreCase="true" />
          </conditions>
          <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Request blocked" />
        </rule>
        <rule name="Block PRType and Encoded Attacks" stopProcessing="true" xdt:Transform="InsertIfMissing">
          <match url="Telerik.Web.UI.WebResource.axd" ignoreCase="true" />
          <conditions logicalGrouping="MatchAny">
            <add input="{UrlDecode:{QUERY_STRING}}" pattern="prtype=" ignoreCase="true" />
            <add input="{UrlDecode:{HTTP_COOKIE}}" pattern="prtype=" ignoreCase="true" />
            <add input="{REQUEST_METHOD}" pattern="^GET$" negate="true" ignoreCase="true" />
          </conditions>
          <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Request blocked" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

 

よくある質問

この問題はすべてのSitecore XP Coreサーバー ロール（Content Delivery、Content Management、Reporting、Processing、EXM Dispatch）に影響を与えますか？   
この問題はコンテンツ管理（CM）、スタンドアロン インスタンスおよび専用ディスパッチ サーバー（存在する場合）に影響します。上記の解決策を指定されたロールに適用してください。  

脆弱性に関する詳細情報を提供することは可能ですか？
いいえ、セキュリティ上の理由によりご提供できません。具体的な理由としては、詳細な悪用シナリオの漏洩につながり、幅広いお客様に深刻な影響を与える可能性があるためです。

更新履歴（英語版原本）

• 2025年5月12日: 本記事が作成されました。
• 2025年5月13日: 概要およびよくある質問セクションにスタンドアロン ロールに対する影響について追加しました。
• 2025年5月16日: 本記事をサイト上で検索可能な状態としました。
• 2025年6月2日: 解決策節に事前にインストールされたURL Rewriteモジュールが必要であること、およびDockerコンテナー向けにURL Rewriteモジュールを有効化することについて述べた注意事項を2つ追加し、コンテナー化環境向けのXMLを更新しました。