CVE詳細 - CVE-2019-9875-

CVE-2019-9875 の詳細

CVEの情報

説明:
Deserialization of Untrusted Data in the anti CSRF module in Sitecore through 9.1 allows an authenticated attacker to execute arbitrary code by sending a serialized .NET object in an HTTP POST parameter.

CVE更新日: 2019-05-31 21:29:06.187000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2025-03-26

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.566980000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2019-9875に関して、以下の観点で解説します。

1. 脆弱性の概要

1.1 影響 SitecoreのアンチCSRFモジュールにおける信頼できないデータのデシリアライゼーションの脆弱性により、認証された攻撃者がHTTP POSTパラメータにシリアライズされた.NETオブジェクトを送信することで、任意のコードを実行する可能性があります。この脆弱性が悪用されると、サーバー上で任意のコマンドが実行され、基盤となるファイルシステムへのアクセスが可能になります。システムとのやり取りにはサービスIDが使用されるため、影響はサービスが持つ権限に大きく依存します。

1.2 深刻度 * CVSS v3.1 ベーススコア: 8.8 (High) * 攻撃元区分: ネットワーク (AV:N) * 攻撃条件の複雑さ: 低 (AC:L) * 必要な特権レベル: 低 (PR:L) * ユーザーインタラクション: 不要 (UI:N) * 機密性への影響: 高 (C:H) * 完全性への影響: 高 (I:H) * 可用性への影響: 高 (A:H) * CVSS v2.0 ベーススコア: 6.5 (Medium)

2. 対象となる環境

2.1 影響を受けるOSバージョン この脆弱性はSitecore製品に存在するため、特定のOSバージョンではなく、Sitecoreのバージョンが影響を受けます。 * Sitecore 9.1 およびそれ以前のバージョン（Sitecore through 9.1） * 特に、Sitecore 9.x系ではバージョン9.1.1未満のものが影響を受け、認証を必要とします。

2.2 影響を受ける設定 * Sitecoreの「anti CSRF module」が影響を受けます。

3. 影響を受けた時の兆候

この脆弱性はCISAの「既知の悪用された脆弱性カタログ（Known Exploited Vulnerabilities Catalog）」に追加されており、実際に悪用が確認されています。具体的な兆候としては、以下のようなものが考えられますが、詳細なログがなければ特定は困難な場合があります。 * サーバー上での予期しないコマンド実行やスクリプトの動作。 * 設定ファイルやデータの不正な変更。 * システムのパフォーマンス低下や異常な動作。 * 認証されたHTTP POSTリクエスト中に、アンチCSRFモジュール宛てに不正なシリアライズされた.NETオブジェクトが含まれている。

4. 推奨対策

4.1 本対策 * Sitecoreを少なくともバージョン9.1 Update-1、またはSitecore XPバージョン8.2.7にアップデートしてください。 * 利用可能な最新バージョンへのアップグレードを推奨します。

4.2 暫定回避策（緩和策） * 直ちにアップデートができない場合は、バージョン8.2.x向けにホットフィックス「SC Hotfix 313001-1 Security.AntiCsrf 1.1.1」を、その他の影響を受けるバージョン向けに「SC Hotfix 313001-1 Security.AntiCsrf 1.0.0」を適用してください。 * ベンダーの指示に従って緩和策を適用するか、クラウドサービスに適用されるBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止するようCISAは推奨しています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る