「Sitecore」や「Linuxカーネル」の脆弱性悪用に注意喚起 - 米当局
米当局は、「Sitecore」や「Linuxカーネル」などあわせて3件の脆弱性が悪用されているとして注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が現地時間2025年9月4日、「悪用が確認された脆弱性カタログ(KEV)」へ3件の脆弱性を追加したもの。米行政機関へ指定期間内に対策を講じるよう求めるとともに、広く注意を呼びかけた。
「CVE-2025-53690」は、コンテンツマネジメントシステム(CMS)である「Sitecore」に判明した構成不備に起因する脆弱性。「Experience Manager(XM)」「Experience Platform(XP)」「Experience Commerce(XC)」「Managed Cloud」など複数製品が影響を受ける。
サンプルとして提供されていた「ASP.NET」のマシンキーがそのまま利用されている場合、コードインジェクションが可能。信頼できないデータのデシリアライズ処理によってリモートよりコードの実行が可能となる。
CVE番号を採番したWizでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.0」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
(Security NEXT - 2025/09/05 )
ツイート
PR
関連記事
「GitLab」に複数の脆弱性 - アップデートで修正
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消
JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を
ウェブアプリフレームワーク「Django」に複数脆弱性 - アップデートが公開
米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
「Android Framework」のゼロデイ脆弱性に注意喚起 - 米当局
「Unbound」のDNSキャッシュ汚染脆弱性 - 追加対策版が公開
