Sitecore CMS の脆弱性 CVE-2025-53693/53691:連鎖による侵害シナリオとは?

Vulnerabilities in Sitecore CMS Platform Allow Excute Arbitrary Code Remotely

2025/08/31 gbhackers — Sitecore Experience Platform に存在する脆弱性 CVE-2025-53693/53691 の連鎖が、watchTowr Labs のセキュリティ研究者たちにより発見された。これらの脆弱性を悪用する攻撃者は、認証を必要とすることなく、企業の Web サイトを完全に侵害し、壊滅的な被害を及ぼすという。この調査で明らかにされたのは、標的 Web サイトのキャッシュ・システムを改竄するサイバー犯罪者が、権限を昇格させた後に、システム上でリモート・コードを実行する手法である。

HTML キャッシュ・ポイズニングによる攻撃

最も懸念される脆弱性 CVE-2025-53693 は、ユーザー認証情報を必要としない HTML キャッシュ・ポイズニングに起因する。研究者たちが確認したのは、Sitecore の XamlPageHandlerFactory に存在する、安全が確保されないリフレクション・メカニズムを悪用することで、キャッシュされた Web サイト・コンテンツの操作が可能になることだ。それにより攻撃者は、正規ページに悪意のコードを挿入し、それらを閲覧者に配信できる。

この攻撃手法は、Sitecore の XAML ハンドラ内の見過ごされてきた経路を介して、キャッシュ・システムを標的とするものだ。攻撃者は、”/-/xaml/” エンドポイントへ向けた、特殊な HTTP リクエストで AddToCache メソッドを呼び出し、正当なキャッシュ HTML を、悪意ペイロードで上書きすることが可能になる。

この手法は、提供されるコンテンツだけに影響を及ぼすものであり、その検出は困難であり、また、きわめて危険なものである。

主な特徴は以下の通りである。

  • 認証を必要としない悪用が可能。
  • 悪意の HTML により正規のキャッシュが置換される。
  • キャッシュ・ポイズニングは異常を検知し難い。
  • 影響範囲が広範であり、すべてのキャッシュ・コンテンツが標的となる。

Sitecore の ItemService API がインターネットに公開されている場合に、キャッシュ・キーを簡単に列挙できるため、この脆弱性は特に深刻である。研究者たちが発見したのは、このコンフィグレーションが、驚くほど一般的なものだったことだ。

この API へのアクセスを達成した攻撃者であれば、Web サイト上のキャッシュ可能な全アイテムと、それに関連するキャッシュ・キーを体系的に特定できる。したがって、日和見的な攻撃を、標的を絞った攻撃へと転換できる。

研究者たちが開発したものには、制限された環境下であっても、タイミング攻撃とレスポンス分析により、キャッシュ・キーに総当たり攻撃を仕掛ける手法がある。

デシリアライゼーションの脆弱性によるリモート・コード実行

2つ目の脆弱性は、認証後のリモート・コード実行の脆弱性 CVE-2025-53691 である。それにより、前述のキャッシュ・ポイズニングとの組み合わせによる、攻撃チェーンが完成する。この脆弱性は、Sitecore の ConvertToRuntimeHtml パイプラインにおける、安全が確保されないデシリアライゼーションに起因し、検証されないユーザー制御 HTML が処理されていく。

Sitecore では、HTML 内の base64 エンコード・オブジェクトが、BinaryFormatter でデシリアライズされており、安全性が欠如している。

特殊エンコードされたデシリアライゼーション・ガジェットを取り込んだ HTML を作成する攻撃者は、それを脆弱なパイプラインで処理させることで、任意のコード実行を引き起こせる。この攻撃は、コンテンツ・エディタ機能を介して実行できるものであり、基本的な権限で成立するため、管理者権限は不要である。

懸念すべき点は、この脆弱性がレガシー問題に起因し、Sitecore による対処が、根本的な修正ではなく、アクセス経路の削除だったことだ。watchTowr の調査で示されたのは、依然として代替の経路が存在し、アップデートが適用された後であっても、システムが無防備であることだ。

重大な影響のタイムライン

これらの脆弱性が影響を及ぼす範囲は、Sitecore Experience Platform 10.4.1 以下であり、インターネット・スキャン・データによると、世界中の 22,000 インスタンスが脆弱となる。影響を受けるものには、大企業が運営する Web サイトも含まれるため、その被害は甚大となり得る。

2025年2月〜3月に報告を受けた Sitecore は 、6月と 7月にパッチをリリースした。しかし、発見から修正までの遅れが浮き彫りにするのは、エンタープライズ CMS に存在する、セキュリティ欠陥への対処の困難さである。

認証前のキャッシュ・ポイズニングと、認証後コード実行の組み合わせは、攻撃者が標的環境に永続アクセスを確立するシナリオを形成する。

Sitecore Experience Platform を利用する組織にとって必要なことは、速やかに最新パッチ適用を確認し、ItemService API の公開コンフィグを見直すことだ。今回の発見が示すのは、重要エンタープライズ・インフラ・コンポーネントに対する、定期的なセキュリティ評価の重要性である。

Sitecore Experience Platform に存在する脆弱性と、連鎖による侵害シナリオが明らかにされました。原因のひとつは、認証を必要とせずにキャッシュを書き換えられる仕組みが存在していたことです。もうひとつは、ConvertToRuntimeHtml パイプラインでのデシリアライゼーションの扱いに問題があり、細工された HTML を処理すると任意のコードが実行できてしまう点です。この2つを組み合わせることで、認証なしで侵入し、その後に権限を昇格して持続的な攻撃が可能になると、この記事は指摘しています。なお、watchTowr アドバイザリでは、PoC も提供されています。ご利用のチームは、ご注意ください。よろしければ、Sitecore で検索も、ご参照ください。