Tag: Sitecore

CISA KEV 警告 25/09/04:Sitecore/Android/Linux の脆弱性を登録

U.S. CISA adds Sitecore, Android, and Linux flaws to its Known Exploited Vulnerabilities catalog

2025/09/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Sitecore/Android/Linux の脆弱性を、Known Exploited Vulnerabilities (KEV) に登録した。それらの脆弱性は、以下のものである。

  • CVE-2025-38352:Linux カーネルにおける Time-of-Check/Time-of-Use (TOCTOU) 競合状態の脆弱性。
  • CVE-2025-48543:Android ランタイムにおける権限昇格の脆弱性。
  • CVE-2025-53690:Sitecore 複数群における信頼されていないデータのデシリアライゼーションの脆弱性。
Continue reading “CISA KEV 警告 25/09/04:Sitecore/Android/Linux の脆弱性を登録”

Sitecore のゼロデイ CVE-2025-53690 が FIX:サンプル・コンフィグの悪用を Mandiant が発見

Google Warns of Zero-Day Vulnerability in Sitecore Products Allowing Remote Code Execution

2025/09/04 CyberSecurityNews — Sitecore 製品群に存在する深刻なゼロデイ脆弱性により、リモート・コード実行にいたる可能性がある。この脆弱性 CVE-2025-53690 は、ViewState のデシリアライゼーションの欠陥に起因し、現在も積極的に悪用されている。Mandiant の調査により明らかになったのは、2017 年以前の Sitecore 導入ガイドに含まれていた、オープンな ASP.NET マシンキーが、攻撃者により悪用されていたことだ。

Continue reading “Sitecore のゼロデイ CVE-2025-53690 が FIX:サンプル・コンフィグの悪用を Mandiant が発見”

Sitecore CMS の脆弱性 CVE-2025-53693/53691:連鎖による侵害シナリオとは?

Vulnerabilities in Sitecore CMS Platform Allow Excute Arbitrary Code Remotely

2025/08/31 gbhackers — Sitecore Experience Platform に存在する脆弱性 CVE-2025-53693/53691 の連鎖が、watchTowr Labs のセキュリティ研究者たちにより発見された。これらの脆弱性を悪用する攻撃者は、認証を必要とすることなく、企業の Web サイトを完全に侵害し、壊滅的な被害を及ぼすという。この調査で明らかにされたのは、標的 Web サイトのキャッシュ・システムを改竄するサイバー犯罪者が、権限を昇格させた後に、システム上でリモート・コードを実行する手法である。

Continue reading “Sitecore CMS の脆弱性 CVE-2025-53693/53691:連鎖による侵害シナリオとは?”

Sitecore Could の脆弱性 CVE-2025-27218 などが FIX:エンタープライズに広がる悪用の懸念

Critical Vulnerabilities in Sitecore Could Lead to Widespread Enterprise Attacks

2025/06/17 gbhackers — Sitecore Experience Platform に発見された一連の深刻な脆弱性は、エンタープライズ・テクノロジー業界全体に影響を及ぼすものだ。セキュリティ研究者たちが警告するのは、パッチ未適用のシステムに対する、壊滅的なリモート・コード実行 (RCE)攻撃の可能性である。銀行/航空などを含む Fortune 500 企業などで広く採用されている、CMS (Content Management System) である Sitecore に対する大規模な悪用を防ぐための、迅速なパッチ適用と認証情報のローテーションが喫緊の課題となっている。

Continue reading “Sitecore Could の脆弱性 CVE-2025-27218 などが FIX:エンタープライズに広がる悪用の懸念”

Sitecore の脆弱性 CVE-2025-27218 が FIX:認証を必要としない RCE の恐れ

Sitecore Zero-Day Flaw Allows Remote Code Execution

2025/03/06 gbhackers — Sitecore のエンタープライズ CMS (content management system) で発見された、深刻なゼロデイ脆弱性を悪用する未認証の攻撃者は、影響を受けるサーバ上で任意のコード実行の可能性を手にする。この認証前のリモート・コード実行 (RCE) の脆弱性 CVE-2025-27218 は、.NET BinaryFormatter クラスに関連する安全が確保されないデシリアライゼーション手法に起因し、Sitecore バージョン 10.4 以下に影響を及ぼす。

Continue reading “Sitecore の脆弱性 CVE-2025-27218 が FIX:認証を必要としない RCE の恐れ”

Sitecore XP の RCE 脆弱性の悪用:Silverlight への対応が原因

Sitecore XP RCE flaw patched last month now actively exploited

2021/11/08 BleepingComputer — Australian Cyber Security Center (ACSC) は、Sitecore Experience Platform (Sitecore XP) におけるリモートコード実行の脆弱性 CVE-2021-42237 が、Web 管理者に対して積極的に悪用されていると警告している。

Continue reading “Sitecore XP の RCE 脆弱性の悪用:Silverlight への対応が原因”