Sitecore Could の脆弱性 CVE-2025-27218 などが FIX:エンタープライズに広がる悪用の懸念

Critical Vulnerabilities in Sitecore Could Lead to Widespread Enterprise Attacks

2025/06/17 gbhackers — Sitecore Experience Platform に発見された一連の深刻な脆弱性は、エンタープライズ・テクノロジー業界全体に影響を及ぼすものだ。セキュリティ研究者たちが警告するのは、パッチ未適用のシステムに対する、壊滅的なリモート・コード実行 (RCE)攻撃の可能性である。銀行/航空などを含む Fortune 500 企業などで広く採用されている、CMS (Content Management System) である Sitecore に対する大規模な悪用を防ぐための、迅速なパッチ適用と認証情報のローテーションが喫緊の課題となっている。

脆弱性の連鎖

watchTowr Labs/Assetnote のセキュリティ研究者たちの詳細な説明によると、複数の脆弱性を連鎖させる攻撃者は、不正アクセスを達成した後に、影響を受けるサーバ上での任意のコード実行の可能性を手にするという。

最も深刻だとされる、認証を必要としないリモート・コード実行の脆弱性 CVE-2025-27218 は、MachineKeyTokenService.IsTokenValid メソッドにおける安全が確保されないデシリアライゼーションに起因する。

この脆弱性を悪用する 攻撃者は、ThumbnailsAccessToken HTTP ヘッダーを介して、悪意のペイロードを送信できる。これらのペイロードは、適切に検証されることなくデシリアライズされるため、Sitecore アプリケーション・プールの権限での、任意のコード実行が可能になる。

この脆弱性が影響を及ぼす範囲は、Sitecore のバージョン 10.4 以下であるが、すでにバージョン 10.4.1 で修正されている。

前述の CVE-2025-27218 に加えて、研究者たちが発見したのは、以下の3つの関連する脆弱性である。

WT-2025-0024:CVE-2025-34509:
内部ユーザー・アカウント”sitecore\ServicesAPI” の認証情報がハードコードされており、容易に推測できる1文字のパスワード “b” が設定されている。このパスワードは、バージョン 10.1 以降の Sitecore インストーラーにハードコードされており、認証上の深刻な脆弱性となっている。

WT-2025-0032:CVE-2025-34510:
“/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx” エンドポイントに存在するパストラバーサルの脆弱性であり、認証後の攻撃者に対して、リモート・コード実行を許してしまう。”sitecore\ServicesAPI” として認証された攻撃者は、Web ルートで Web シェルを解凍するように細工された、ZIP ファイルをアップロードすることで、サーバ全体にセキュリティ侵害を引き起こす可能性を手にする。

WT-2025-0025:CVE-2025-34511:Sitecore PowerShell エクステンションに存在する、無制限のファイル・アップロードの脆弱性であり、認証済の攻撃者にリモート・コード実行を許すものである。また、この脆弱性は、内部ユーザーにより、以下のエンドポイント経由で悪用される可能性がある。
“/sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx”

なお、冒頭で説明した脆弱性 CVE-2025-27218 は、以下のメソッドにおける安全が確保されないデシリアライゼーションに起因するものだ。
MachineKeyTokenService.IsTokenValid

企業への影響と緊急の緩和策

オンラインで公開されている Sitecore インスタンスは、22,000 台を超えるという。このプラットフォームは、グローバル企業のインフラに深く統合されているため、潜在的な攻撃の規模は広大になると予測される。

セキュリティ専門家たちが警告するのは、悪用に成功した攻撃者により、企業ネットワーク内におけるデータの窃取/ラテラル・ムーブメントなどが引き起こされ、重大な業務中断につながる可能性があるという点だ。

すでに Sitecore は、これらの脆弱性に対処するパッチをリリースしている。ユーザー組織に対して強く推奨されるのは、以下の対策である:

  • すべての提供されているセキュリティ・アップデートを速やかに適用
  • すべての社内 Sitecore サービス・アカウント認証情報のローテーション
  • 特に影響を受けるエンドポイント周辺での、サーバーログにおける不審なアクティビティの兆候を監査

最近の傾向として、攻撃者は修正プログラムをリバース・エンジニアリングし、パッチ未適用のシステムを素早く悪用しているため、修復のための時間に猶予はない。

Sitecore の脆弱性が示すのは、エンタープライズ・ソフトウェアにおけるデフォルトの認証情報と、安全が確保されないコーディング方法がもたらすリスクの大きさである。

Sitecore に発見された一連の脆弱性は、CMS をコアに据えるエンタープライズにとって、とても重大なリスクになります。特に、脆弱性 CVE-2025-27218 の認証不要の RCE や、CVE-2025-34509 のハードコードされたパスワード “b” などは、容易に悪用されてしまうものです。ご利用のチームは、十分に ご注意ください。よろしければ、Sitecore で検索も、ご参照ください。