重要な注意事項:

このセキュリティ情報は以前のセキュリティ情報であるKB1003415の内容に代わるものです。新しい（こちらの）セキュリティ情報からの修正プログラムのみ適用して下さい。

概要

本セキュリティ情報では、Sitecoreソフトウェアにおける重要な脆弱性（SC2025-002-9109）とその解決策についてお知らせいたします。本件脆弱性には、認証されていない任意のファイルの読み取りを許す危険性があります。 

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。

この脆弱性は、以下のSitecore製品に影響を与えます。

Sitecore製品	影響
Experience Manager (XM)	影響あり*
Experience Platform (XP)
Experience Commerce (XС)
Managed Cloud	影響あり**
XM Cloud	影響なし
Content Hub	影響なし
CDP and Personalize (formerly Boxever)	影響なし
OrderCloud (formerly Four51 OrderCloud)	影響なし
Storefront (formerly Four51 Storefront)	影響なし
Moosend	影響なし
Send	影響なし
Discover (formerly Reflektion)	影響なし
Search	影響なし
Commerce Server	影響なし

* この脆弱性は、8.0 Initial Releaseから10.4 Initial Release以降の全てのExperience Platformトポロジー（XM、XP、XC）に影響します。この問題はContent Management（CM）および スタンドアローン インスタンスに影響を与えます。また、PaaSソリューションおよびコンテナー化ソリューションも影響を受けます。

** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。Content Management（CM）およびスタンドアローンのManaged Cloudインスタンスのみが影響を受けます。

このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。  

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。 

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。  

解決策

この脆弱性の影響を緩和するため、影響を受けるSitecoreシステムに、以下の修正パッチを適用していただくことをお勧めいたします。このパッチは8.0 Initial Releaseから10.4 Initial Releaseまでの全ての影響を受ける製品バージョンに使用していただけます。次のインストールの指示に従ってください。

1. Sitecore.Support.PDXP-9109.zipのアーカイブをダウンロードして解凍します。
2. Content ManagementまたはスタンドアローンのインスタンスからApp_Config\Include\zzz\Sitecore.Support.619349.configファイルを削除します（存在する場合）。
3. Content Managementまたはスタンドアローンのインスタンスからbin\Sitecore.Support.619349.dllアセンブリを削除します（存在する場合）。
4. Sitecore.Support.PDXP-9109.dllを\binフォルダーに配置します。
5. Sitecore.Support.PDXP-9109.configを\App_Config\Include\zzzフォルダーに配置します。

加えて、Sitecoreは同じ修正プログラムを含む、メインストリームのSitecore XPバージョン向けの累積プレリリースを後日提供いたします。これが利用可能になり次第、上記のパッチに代わってプレリリースを問題への対応にご利用いただけます。

よくある質問

Q. この問題はすべてのSitecore XP Coreサーバー ロール（Content Delivery、Content Management、Reporting、Processing、EXM Dispatch）に影響を与えますか？   
A. この問題はContent Management（CM）およびスタンドアローンのロールにのみ影響を与えます。上記の解決策を対象のロールに適用してください。   

Q. Azure Marketplaceを使用してXM/XP/XC（10.3 など）を今インストールする場合、上記のhotfixは含まれますか？ それとも、手動で適用する必要がありますか？ また、HotfixはAzure Marketplace上に自動的に公開されますか？ 
A. いいえ、hotfixは自動的にはAzure Marketplaceに公開されません。Azure Marketplaceは、dev.sitecore.netでリリースされたものと同じバージョンをサポートしています。リリースされているバージョンで問題が修正されていない場合、上記の解決策をインスタンスに適用してください。

Q. この脆弱性に関する更なる詳細情報を提供することは可能ですか？
A. いいえ、大変申し訳ございませんが、セキュリティ上の理由により詳細情報を提供することはできません。具体的には、悪用シナリオの流出につながり、様々なお客様により深刻な影響を与える可能性があるためです。

Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか？ 
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。  

更新履歴（英語版原本）

• 2025年5月26日: 本記事を作成しました。 
• 2025年5月28日: このセキュリティ情報が過去の情報KB1003415（英語版：KB1003408）に代わるものであることの注意をページ上部に追加しました。ファイルの削除に関する2番目、3番目の手順を解決策に追加しました。近くリリースされる累積hotfixの情報およびパッチの適用範囲の変更について解決策に追記しました。
  
• 2025年5月29日: 解決策セクションのファイル名の誤字を訂正しました。
• 2025年6月19日： 記事を検索可能な状態としました。