本セキュリティ情報では、重大度が中程度の脆弱性(SC2025-004)と、その利用可能な解決策についてお知らせいたします。この脆弱性が悪用されると、リモートコード実行や情報への不正アクセスにつながる可能性があります。
Sitecoreのお客様およびパートナー企業の皆様には、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。
この脆弱性は、以下のSitecore製品に影響を与えます。
| Sitecore製品 | 影響 |
| Experience Manager (XM) | 影響あり* |
| Experience Platform (XP) | |
| Experience Commerce (XC) | |
| Managed Cloud | 影響あり** |
| XM Cloud | 影響なし |
| Content Hub | 影響なし |
| CDPおよびPersonalize | 影響なし |
| OrderCloud | 影響なし |
| Storefront(旧Four51ストアフロント) | 影響なし |
| Send | 影響なし |
| Discover | 影響なし |
| Search | 影響なし |
| Commerce Server | 影響なし |
* この脆弱性は、9.2 Initial Releaseから10.4 Initial Releaseまでの全てのExperience Platformトポロジー(XM、XP、XC)に影響します。 PaaSソリューションおよびコンテナー化ソリューションも同様に影響を受けます。
**問題のあるExperience Platformバージョンを実行しているManaged Cloudのお客様は影響を受けるため、各社の標準手法に従い適切なパッチを適用していただく必要があります。
Managed Cloud Premiumをご利用のお客様は、指名されているソリューション・エンジニアに連絡することで、パッチのインストールに関する直接のサポートを受けることができます。
このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
この脆弱性の影響を緩和するため、影響を受けるSitecoreシステムに、導入環境に応じて以下の修正を適用することをお勧めします。ソリューションには、XP モジュールと SXA モジュールの個別の修正が含まれていることに注意してください。
Q. 近いうちにAzure Marketplaceを使用してインスタンス(10.3など)をインストールする場合、上記の修正は含まれますか? それとも、手動で適用する必要がありますか? また、修正はAzure Marketplace上に自動的に公開されますか?
A. いいえ、修正は自動的にはAzure Marketplaceに公開されません。Azure Marketplaceは、dev.sitecore.netでリリースされたものと同じバージョンをサポートしています。リリースされているバージョンで問題が修正されていない場合、上記の解決策をインスタンスに適用してください。
Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか?
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。