「Sitecore」や「Linuxカーネル」の脆弱性悪用に注意喚起 - 米当局

米当局は、「Sitecore」や「Linuxカーネル」などあわせて3件の脆弱性が悪用されているとして注意喚起を行った。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が現地時間2025年9月4日、「悪用が確認された脆弱性カタログ（KEV）」へ3件の脆弱性を追加したもの。米行政機関へ指定期間内に対策を講じるよう求めるとともに、広く注意を呼びかけた。

「CVE-2025-53690」は、コンテンツマネジメントシステム（CMS）である「Sitecore」に判明した構成不備に起因する脆弱性。「Experience Manager（XM）」「Experience Platform（XP）」「Experience Commerce（XC）」「Managed Cloud」など複数製品が影響を受ける。

サンプルとして提供されていた「ASP.NET」のマシンキーがそのまま利用されている場合、コードインジェクションが可能。信頼できないデータのデシリアライズ処理によってリモートよりコードの実行が可能となる。

CVE番号を採番したWizでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.0」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

（Security NEXT - 2025/09/05 ） ツイート

PR

関連記事

米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
SAP、セキュリティアドバイザリ17件を公開 - 4件が「クリティカル」
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
NVIDIAのGPU開発支援ツール「NVIDIA NSIGHT Graphics」に脆弱性
Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応