概要
Progress Sitefinity の Webサービスにおいて、Sitefinity Insight サービスへの接続に使用される認証情報が不十分に保護されており、未認証のリモート攻撃者が平文の認証情報を取得できる脆弱性です(CWE-522)。
Sitefinity Insight との積極的な統合が有効かつ非デフォルトのサイト設定が行われている場合に悪用が成立します。CVSS 3.1 スコアは 10.0 の最高スコアです。
CVSSベクトル
| 項目 | 内容 |
|---|---|
| 深刻度 | Critical(CVSS 3.1: 10.0) |
| 攻撃経路(AV) | ネットワーク(N) |
| 攻撃の複雑さ(AC) | 低(L) |
| 必要な権限(PR) | なし(N) |
| ユーザー操作(UI) | 不要(N) |
| スコープ(S) | 変更なし(U) |
| 機密性への影響(C) | 高(H) |
| 完全性への影響(I) | 高(H) |
| 可用性への影響(A) | 高(H) |
| CWE | CWE-522(不十分に保護された認証情報) |
影響を受けるソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Progress Sitefinity | Progress Software | 14.0.7700〜14.4.8152 |
| Progress Sitefinity | Progress Software | 15.0.8200〜15.0.8234 |
| Progress Sitefinity | Progress Software | 15.1.8300〜15.1.8335 |
| Progress Sitefinity | Progress Software | 15.2.8400〜15.2.8441 |
| Progress Sitefinity | Progress Software | 15.3.8500〜15.3.8531 |
| Progress Sitefinity | Progress Software | 15.4.8600〜15.4.8630 |
修正バージョンと回避策
- 修正バージョン: 各系列の最新修正版へアップデート(例: 15.4.8630以降)
- 条件: Sitefinity Insight との統合を使用していない場合は影響を受けません。
- 回避策: Sitefinity Insight との統合を無効にすることで、パッチ適用までの暫定措置とすることができます。
関連リンク
データソース: NVD (NIST), Progress Software AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。