解説

この記事では、いくつかのSitecore製品の構成において重大な影響を持つ可能性のある脆弱性（SC2025-005, CVE-2025-53690）と、その利用可能な解決策についてお知らせいたします。この脆弱性が悪用されると、リモート コード実行や情報への不正アクセスにつながる可能性があります。 
Sitecoreのお客様およびパートナー企業の皆様には、以下の情報を熟知していただき、影響を受けるすべてのSitecoreのインスタンスに対し、Sitecoreのガイダンスに従っていただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。  
脆弱性が影響する可能性のあるSitecore製品は次の通りです。

Sitecore製品	影響
Experience Manager (XM)	影響を受ける 可能性あり *, **
Experience Platform (XP)
Experience Commerce (XC)
Managed Cloud	影響を受ける 可能性あり**
XM Cloud	影響なし
Content Hub	影響なし
CDP and Personalize	影響なし
OrderCloud	影響なし
Storefront （旧称Four51 Storefront）	影響なし
Send	影響なし
Discover	影響なし
Search	影響なし
Commerce Server	影響なし

* XP 9.0以前およびActive Directory 1.4以前向けのデプロイの手順書に記載されていたサンプルのキーを使用してデプロイされていたお客様はこの構成の脆弱性の影響を受ける可能性があるため、お客様の社内の手順に従って適切なパッチを適用してください。Managed Cloud Premiumのお客様は、指名されているソリューション エンジニアにご連絡いただくことで、パッチのインストールに関する直接のサポートを受けていただけます。

** この構成の脆弱性は、お客様が管理する静的マシン キーを使用してマルチ インスタンス モードでデプロイされている場合、全てのリリース向けの全てのバージョンのXM、XP、XCトポロジーに影響する可能性があります。また、マルチ インスタンス モードでデプロイされている場合、コンテナーを使用するManaged Cloud Standard環境にも影響する可能性があります。

このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。  

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。  

解決策

• XP 9.0以前およびActive Directory 1.4以前向けのデプロイ手順書に従って、いずれかのバージョンのXM、XP、XCトポロジーをデプロイし、かつドキュメントに掲載されていたサンプルのマシン キー（例：マシン キー: BDDFE367CD...、バリデーション キー: 0DAC68D020...など）を使用されているお客様は脆弱性の影響を受けている可能性があるため、以下のような内容を含むSitecoreのガイダンスに直ちに従ってください。
  
  • 不審な、または異常な挙動が環境で発生していないか検査する。
  • web.configファイル内のマシン キーをローテーションする。
  • web.configファイルのシステムの<machineKey>要素が暗号化されているようにする。
  • web.configファイルへのアクセスをアプリケーション管理者のみに制限する。
  • 適宜、静的マシン キーを定期的にローテーションする措置を講じる。
    
    
• 静的なマシン キーが必要な構成のお客様、もしくはマシンキーの漏洩が疑われる場合は、Sitecoreのガイダンスに従ってマシン キーのローテーションをベスト プラクティスとして行ってください。
  
  
• 更に、ASP.NETマシン キーおよびその他のシークレットのローテーションと保護に加えて、Microsoft脅威インテリジェンス、Mandiant Threat IntelligenceおよびSitecoreからのガイダンスに従い、貴社環境で不審な挙動がないかを検査していただくことをお薦めいたします。
  Microsoft脅威インテリジェンスによりリリースされている「公開されているASP.NETマシン キーを使用したコード インジェクション攻撃」および、脆弱性（CVE-2025-53770およびCVE-2025-53771）を狙った「オンプレミスのSharePointの脆弱性を悪用した攻撃の阻止」で公開された情報を受けて、Mandiant Threat Defenceチームは、正体不明の脅威アクターが静的なASP.NETマシン キーを使用して、ASP.NET環境に対するViewStateコード インジェクション攻撃を実行する活動が行われていることを確認いたしました。これには、公開されている静的なASP.NETマシン キーを使用した、Sitecoreオンプレミス デプロイに対するものも含まれます。SitecoreはMandiantチームと連携し、発見された調査結果および脆弱性の解決に取り組んでおります。  
  Sitecoreからの指示につきましては、以下のドキュメントに記載されております。
  セキュリティ強化： ASP.NETのマシン キーを不正アクセスから保護する方法

よくある質問

Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか？
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響する可能性があります。上記の解決策を適用して、脆弱性の影響を緩和してください。

追加の参考資料

Mandiant: https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability

更新履歴（英語版原本）

• 2025年9月3日: 本記事を公開しました。