プラットフォーム
dotnet
コンポーネント
sitecore-experience-manager
修正版
9.3.1
10.4.1
9.3.1
10.4.1
9.3.1
10.4.1
CVE-2025-34510は、Sitecore Experience Manager (XM)、Experience Platform (XP)、Experience Commerce (XC)において発見されたリモートコード実行(RCE)脆弱性です。攻撃者は、巧妙に細工されたHTTPリクエストを送信することで、ZIPアーカイブをアップロードし、パス・トラバーサルシーケンスを利用して任意のファイルを書き込むことが可能となり、最終的にコード実行に至る可能性があります。この脆弱性は、Sitecore Experience Managerのバージョン9.0から10.4までの範囲で影響を及ぼします。最新バージョンへのアップデートを強く推奨します。
この脆弱性を悪用されると、攻撃者は認証された状態でSitecore環境に侵入し、任意のコードを実行できる可能性があります。これにより、機密情報の窃取、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害が発生する可能性があります。攻撃者は、アップロードされたZIPファイル内のパス・トラバーサルシーケンスを利用して、本来アクセスできないファイルシステム上の場所にファイルを書き込むことができます。例えば、Webアプリケーションのルートディレクトリに悪意のあるスクリプトを配置したり、システム設定ファイルを改ざんしたりすることが考えられます。この脆弱性は、Log4Shellのようなサプライチェーン攻撃のパターンと類似しており、広範囲な影響を及ぼす可能性があります。
この脆弱性は、2025年6月17日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログに登録されていません。EPSS(Exploit Prediction Score System)のスコアは、公開された情報に基づき評価される必要があります。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、早期に悪用される可能性はあります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に監視し、最新の脅威動向を把握することが重要です。
Organizations heavily reliant on Sitecore Experience Manager for content management and digital experience delivery are at significant risk. This includes businesses using Sitecore for e-commerce, marketing automation, and customer relationship management. Specifically, deployments utilizing older versions (9.0-10.4) without robust file upload validation are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure also face increased risk due to the potential for cross-tenant exploitation.
• .NET / Sitecore: Monitor Sitecore logs for unusual file upload activity, particularly attempts to write files outside of designated upload directories. Use PowerShell to check for unexpected files in sensitive locations.
Get-ChildItem -Path "C:\inetpub\wwwroot\sitecore\*" -Recurse -Filter "*.config"• .NET / Sitecore: Examine web server access logs for HTTP POST requests to file upload endpoints with suspicious ZIP archive filenames or content. • .NET / Sitecore: Implement Windows Defender exploit mitigation rules to detect and prevent path traversal attacks. • .NET / Sitecore: Review Sitecore configuration files for any custom file upload handlers that might be vulnerable to path traversal.
disclosure
discovery
patch
エクスプロイト状況
EPSS
87.27% (99% パーセンタイル)
CISA SSVC
CVSS ベクトル
Sitecoreは、この脆弱性に対する修正バージョンをリリースしています。まず、直ちにSitecore Experience Managerを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な緩和策として、ZIPファイルのアップロード機能を無効化するか、アップロードされるZIPファイルの内容を厳密に検証するカスタムのセキュリティチェックを実装することを検討してください。また、Webアプリケーションファイアウォール(WAF)を使用して、悪意のあるZIPファイルのアップロードを検知・ブロックすることも有効です。Sitecoreのセキュリティチームが提供するWAFルールを適用することを推奨します。最後に、アップデートまたは緩和策の適用後、システムが正常に動作していることを確認し、脆弱性が修正されていることを検証してください。
Actualice Sitecore Experience Manager a una versión posterior a la 10.4 que haya solucionado la vulnerabilidad Zip Slip. Consulte el artículo de la base de conocimientos de Sitecore (KB1003667) para obtener más detalles e instrucciones específicas de actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-34510は、Sitecore Experience Manager 9.0~10.4におけるZIP Slip脆弱性です。攻撃者は悪意のあるZIPファイルをアップロードすることで、任意のコードを実行できます。
はい、Sitecore Experience Managerのバージョン9.0から10.4を使用している場合は、影響を受ける可能性があります。攻撃者は、認証された状態でシステムに侵入し、機密情報を窃取したり、システムを改ざんしたりする可能性があります。
直ちにSitecore Experience Managerを最新バージョンにアップデートしてください。アップデートが困難な場合は、一時的な緩和策として、ZIPファイルのアップロード機能を無効化するか、アップロードされるZIPファイルの内容を厳密に検証するカスタムのセキュリティチェックを実装してください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、早期に悪用される可能性はあります。最新の脅威動向を常に監視することが重要です。
Sitecoreのセキュリティアドバイザリページで確認できます。詳細はSitecoreの公式ウェブサイトを参照してください。
packages.lock.json ファイルをアップロードすると、影響の有無を即座にお知らせします。