概要

本セキュリティ情報では、Sitecoreソフトウェアにおける重要な脆弱性（SC2025-003）と、その利用可能な解決策についてお知らせいたします。
関連する脆弱性が悪用された場合、リモート コード実行ならびに情報への不正アクセスが発生する可能性があります。

Sitecoreのお客様およびパートナー企業の皆様には、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。 

この脆弱性は、以下のSitecore製品に影響を与えます。 

Sitecore製品	影響
Experience Manager （XM）	影響あり*
Experience Platform （XP）
Experience Commerce （XC）
Managed Cloud	影響あり**
XM Cloud	影響なし
Content Hub	影響なし
CDP and Personalize	影響なし
OrderCloud	影響なし
Storefront （旧称 Four51 Storefront）	影響なし
Moosend	影響なし
Send	影響なし
Discover	影響なし
Search	影響なし
Commerce Server	影響なし

* この脆弱性は、9.0 Initial Releaseから10.4 Initial Releaseまでの全てのExperience Platformトポロジー（XM、XP、XC）に影響します。 PaaSソリューションおよびコンテナー化ソリューションも同様に影響を受けます。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。 

このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。  

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。  

解決策

この脆弱性の影響を緩和するため、影響を受けるSitecoreシステムに、以下の一時的な修正プログラムを適用していただくことをお勧めいたします。このパッチは影響を受ける全ての製品バージョンに適用していただけます。以下のインストール指示ならびにReadme.mdファイルに記載されている手順に従ってください。

• 9.0 Initial Releaseから9.3 Initial Release向け：
  1. Sitecore.Support.9.0-9.3.zipアーカイブをダウンロードして解凍します。
  2. Readme.mdファイルに記載されている指示に従って進めてください。
• 10.0 Initial Releaseから10.4 Initial Release向け：
  1. Sitecore.Support.10.0-10.4.zipアーカイブをダウンロードして解凍します。
  2. Readme.mdファイルに記載されている指示に従って進めてください。

Sitecoreは、同じ修正を含む累積プレリリースを、メインストリームのSitecore XPバージョン向けに後日追加で提供する予定です。このプレリリースが利用可能になった際には、このパッチの代わりにプレリリースを使用してこの問題に対処していただけます。

よくある質問

Q. この問題はすべてのSitecore XP Coreサーバー ロール（Content Delivery、Content Management、Reporting、Processing、EXM Dispatch）に影響を与えますか？    
A. はい、この問題は全てのSitecore XPコア サーバー ロールに影響します。上記の解決策を各ロールに適用してください。更なる詳細につきましては、解決策セクションの対応するReadme.mdファイルに記載されているインストールの指示をご参照ください。

 

Q. 近いうちにAzure Marketplaceを使用してXM/XP/XC（10.3など）をインストールする場合、上記のhotfixは含まれますか？ それとも、手動で適用する必要がありますか？ また、HotfixはAzure Marketplace上に自動的に公開されますか？ 
A. いいえ、hotfixは自動的にはAzure Marketplaceに公開されません。Azure Marketplaceは、dev.sitecore.netでリリースされたものと同じバージョンをサポートしています。リリースされているバージョンで問題が修正されていない場合、上記の解決策をインスタンスに適用してください。  

 

Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか？
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。

更新履歴（英語版原本）

• 2025年6月16日：本記事を作成しました。 
• 2025年6月18日：参照番号にCVE識別子CVE-2025-34509およびCVE-2025-34510を追加しました。
• 2025年6月19日：参照番号にCVE識別子CVE-2025-34511を追加しました。