企業向けCMS Sitefinityに脆弱性5件、無認証で情報露出 CVE-2026-7198ほか
企業向けCMSのProgress Sitefinityに脆弱性5件が公表。無認証で非公開コンテンツに不正アクセスできるCVE-2026-7198(9.8)、条件次第で認証情報が平文露出するCVE-2026-7312(10.0)など。MOVEit開発元の製品です。条件差とブランチ別の修正ビルドを整理します。
堀川 慎
Backend Engineer / AWS / Django / Go
企業向けCMSのProgress Sitefinityに脆弱性5件が公表。無認証で非公開コンテンツに不正アクセスできるCVE-2026-7198(9.8)、条件次第で認証情報が平文露出するCVE-2026-7312(10.0)など。MOVEit開発元の製品です。条件差とブランチ別の修正ビルドを整理します。
企業向けのWebサイト構築ソフト「Progress Sitefinity(サイトフィニティ)」に、合計5件の脆弱性が公表されました。中でも深刻なのは、ログインしていない第三者がネット越しに、本来は非公開のコンテンツに手を出せてしまう欠陥(CVE-2026-7198・危険度CVSS 9.8)と、条件次第で外部サービスとの接続に使う認証情報が平文のまま漏れる欠陥(CVE-2026-7312・CVSS 10.0)です。開発元のProgress Softwareは、2023年に世界的な大規模情報漏えいを招いたファイル転送ソフト「MOVEit」の開発元でもあり、同社製品の脆弱性は注目を集めやすい立場にあります。
Sitefinityは、企業や官公庁が複数のサイトやポータルをまとめて運用するための「CMS(コンテンツ管理システム)」と呼ばれる業務ソフトです。今回の5件は深刻度も悪用の条件もそれぞれ異なり、「全部が誰でもすぐ踏める」わけではありません。本記事では、どの欠陥がどんな条件で危ないのか、自社が影響を受けるのか、どのバージョンへ更新すればよいのかを順番に整理します。
5件の脆弱性の概要
まず5件を一覧にします。読みどころは、「ログイン不要かどうか」と「特別な設定が前提かどうか」です。数字(CVSS)が大きくても、悪用に特定の設定や権限が要るものは、実際に踏める範囲が狭まります。
| 整理番号 | 何が起きるか | ログイン | CVSS | 悪用の前提 |
|---|---|---|---|---|
| CVE-2026-7312 | 連携サービスの 認証情報が平文露出 | 不要 | 10.0 | Insight連携+ 非既定設定 |
| CVE-2026-7198 | 非公開コンテンツへ 不正アクセス | 不要 | 9.8 | 15.4.8623〜 8630未満のみ |
| CVE-2026-7195 | 利用者アカウントの 侵害 | 不要 (操作誘導あり) | 8.8 | 非既定設定 |
| CVE-2026-7201 | 他人のアカウント 設定を改変 | 必要 | 8.8 | 特定の値の 事前把握 |
| CVE-2026-7313 | 連携サービスの 認証情報を取得 | 必要 (管理者) | 8.7 | 旧版8.0〜13.3+ Insight連携 |
最も注意すべきは、ログイン不要で踏める2件です。CVE-2026-7312はCVSSが最高の10.0ですが「Sitefinity Insightという分析サービスと連携し、かつ初期設定から変更している」場合に限られます。CVE-2026-7198はCVSS 9.8で条件は付きませんが、対象は15.4.8623から15.4.8630未満という、ごく狭いバージョン帯だけです。残る3件はログインや管理者権限、特定の前提を必要とします。いずれにせよ、対応は最新の修正ビルドへ更新する一手に集約されます。
非公開ページの裏口と、抜き取られる接続パスワード
山場は、ログイン不要で非公開コンテンツや接続用パスワードへ届く2件です。ここに値を付けるのは、企業サイトの未公開情報を売買するデータ窃取グループ、侵入の足場を仕入れて転売する初期アクセス業者、そしてMOVEit事件で同じ開発元の製品を踏み台にしたランサムウェア集団です。持ち去られるのは、公開前のプレスリリースの下書き、会員ポータルの非公開ページ、外部サービスへの接続IDとパスワードです。条件のそろったサイトでこの欠陥が突かれた瞬間、まだ世に出していない情報と、裏側の接続キーがまとめて外へ流れ出します。
抜き取った先は一段では止まりません。接続用の認証情報を握れば、攻撃者はSitefinityにつながる分析基盤や周辺システムへ正規の接続で入り込み、社内側へ広がります。奪った情報や接続キーはダークウェブで転売され、買い手はそれを足がかりに企業全体を暗号化して業務を止め、抜いた未公開情報の公開をちらつかせる二重恐喝に持ち込みます。公開前の経営情報が外に出れば、株価や取引にまで響きかねません。
後始末を背負うのは、サイトを運用する情報システム部門と、制作会社、そして経営です。会員ポータルから個人情報が漏れれば、個人情報保護委員会への報告と本人通知の義務が生じ、損害賠償や信用の失墜も残ります。CVSSの数字に表れないのは、自社サイトが「いつ抜かれたか分からない」状態に置かれ、調査と通知に追われる人件費です。条件に当てはまるかを早く確かめ、修正ビルドへ更新できるかが、いま運用者の安全を分けます。
そもそもSitefinityとProgress Softwareとは
Progress Sitefinityは、企業や官公庁が自社サイトや会員ポータルを作って運用するための「CMS(コンテンツ管理システム)」です。CMSは、専門知識がなくてもページの作成・更新ができるようにする土台ソフトで、世界的にはWordPressが有名ですが、Sitefinityはマイクロソフトの.NET(ドットネット)という技術で作られた企業向けの製品です。複数ブランドのサイトや多言語サイトをまとめて管理する用途で、世界中の企業に使われています(BuiltWithの導入統計)。
開発元のProgress Softwareは、米国の業務ソフト企業です。同社の名前を一躍知らしめたのが、ファイル転送ソフト「MOVEit Transfer」の脆弱性(CVE-2023-34362)でした。2023年、この欠陥を突いたランサムウェア集団Cl0pが世界で2,000を超える組織に侵入し、数千万人規模の個人情報が流出する大事件に発展しています。今回のSitefinityの件はそれとは別物ですが、同じ開発元の製品の脆弱性として、世界のセキュリティ担当者が神経をとがらせる背景がここにあります。
今回の5件は、Progressが公式のセキュリティアドバイザリでまとめて公表し、修正版を提供しています。外部からの不正アクセスを受けて発覚した事案ではなく、修正と同時に告知された形でございます。
5件の中身を1つずつ見る
それぞれの欠陥が「誰が・どの条件で・何をできるのか」を、深刻な順に整理します。
CVE-2026-7312:連携サービスの認証情報が平文で露出(CVSS 10.0)
アクセス解析サービス「Sitefinity Insight」と連携している場合に、その接続に使う認証情報が暗号化されないまま、ログイン不要で取得できてしまう欠陥です(CWE-522・認証情報の不十分な保護)。CVSSは最高の10.0ですが、悪用にはInsightとの連携が有効で、かつ初期設定から構成を変更しているという前提が必要です。該当すれば、攻撃者は連携先のサービスへ正規の接続として入り込めるため、影響は大きくなります。
CVE-2026-7198:非公開コンテンツへの不正アクセス(CVSS 9.8)
Webサービスのアクセス制御の不備により、ログインしていない第三者が、本来は権限のある人しか見られないコンテンツに到達できてしまう欠陥です(CWE-284・不適切なアクセス制御)。条件は付きませんが、対象は15.4.8623から15.4.8630未満という極めて狭いバージョン帯に限られます。直前のビルドを入れたばかりの環境が要注意で、最新ビルドへ上げれば解消します。
CVE-2026-7195:利用者アカウントの侵害(CVSS 8.8)
入力値の検証不備により、攻撃者が利用者を細工したリンクなどへ誘導すると、その利用者のアカウントの機密性と完全性を損なえる欠陥です(CWE-20・不適切な入力検証)。ログインは不要ですが、被害者側の操作(リンクのクリックなど)と、初期設定から変更した構成が前提になります。
CVE-2026-7201:他人のアカウント設定の改変(CVSS 8.8)
ログイン済みの利用者が、他の利用者のアカウント設定を書き換えられる欠陥です(CWE-639・利用者が操作できる識別子による認可回避)。悪用には、通常は低い権限の利用者が知り得ない値を事前に把握している必要があり、その点でハードルがあります。とはいえ成立すればアカウント乗っ取りにつながります。
CVE-2026-7313:管理者権限での認証情報取得(CVSS 8.7)
管理者権限を持つ利用者が、Sitefinity Insightの接続用認証情報を暗号化されない形で取得できる欠陥です(CWE-522)。対象は8.0系から13.3系という旧バージョンで、こちらもInsight連携と非標準の構成が前提です。古いSitefinityを使い続けている環境は、サポート対象版への移行を検討すべきサインでございます。
悪用は確認されているのか
現時点で分かっていることと、まだ確認できていないことを分けて整理します。
✓ 確認済みの事実
? 現時点で未確認のこと
- ?実際に悪用された事例 ― 本記事時点でCISAの悪用が確認された脆弱性リスト(KEV)に未登録、公開された攻撃コードも確認できていない
- ?発見者・報告者の詳細 ― 公式アドバイザリの公表内容にとどまり、第三者による技術解説はまだ少ない
自社のバージョンと修正ビルドの早見表
対応の基本は、使っているSitefinityのブランチに応じて、下の修正ビルド以降へ更新することです。古い8.0〜13.3系を使っている場合は、サポート対象の新しい版への移行を検討してください。
| 使用中のブランチ | 影響を受ける版 | 更新先(修正ビルド) |
|---|---|---|
| 14.x | 14.0.7700〜 14.4.8152未満 | 14.4.8152 |
| 15.0 | 15.0.8234未満 | 15.0.8234 |
| 15.1 | 15.1.8335未満 | 15.1.8335 |
| 15.2 | 15.2.8441未満 | 15.2.8441 |
| 15.3 | 15.3.8531未満 | 15.3.8531 |
| 15.4 | 15.4.8630未満 (7198は8623以降) | 15.4.8630 |
| 8.0〜13.3(旧版) | CVE-2026-7313 の対象 | サポート対象版 へ移行 |
正確な影響範囲と最新の修正ビルドは、Progress公式のアドバイザリで必ず確認してください。自社で運用せず制作会社に任せている場合は、更新の予定を問い合わせるのが早道でございます。
サイト運用者がいま確認すべきこと
最優先は、使っているSitefinityのバージョンを確かめ、上の表の修正ビルド以降へ更新することです。とくにSitefinity Insightと連携している環境は、CVE-2026-7312(10.0)とCVE-2026-7313の対象になり得るため、連携の有無と設定を真っ先に点検してください。すぐに更新できない場合でも、Insight連携を一時的に見直す、外部からアクセスできる範囲を絞るといった暫定策が考えられます。
あわせて、認証情報が露出した可能性がある環境では、連携サービスの接続キーの作り替えも検討に値します。すでに抜き取られていた場合、更新するだけでは古いキーが悪用され続けるためです。自社サイトの脆弱性管理を体系的に進めたい場合は、国内で広く使われる製品の脆弱性をまとめた2026年上半期の重大な脆弱性まとめもあわせて確認してください。
同じ時期には、企業システムの「入口」を狙う欠陥が続いています。コンテナ基盤のOpenShiftの設定割り込み(CVE-2026-1784)や、別のCMSであるDrupalの認証不要の乗っ取りもその一例で、Webの土台ソフトを最新に保つことの重みが増しています。
よくある質問
Q. CVSS 10.0のCVE-2026-7312は、すべてのSitefinityで危ないのですか?
A. いいえ。悪用には「アクセス解析サービスのSitefinity Insightと連携していて、かつ初期設定から構成を変更している」という前提が必要です。Insightと連携していない環境では、この欠陥の影響は受けません。まず連携の有無を確認してください。
Q. ログイン不要で本当に危ないのはどれですか?
A. ログイン不要で踏めるのはCVE-2026-7312とCVE-2026-7198の2件です。ただし7312は上記の連携条件付き、7198は15.4.8623から15.4.8630未満という狭いバージョン帯だけが対象です。該当する環境は早急に最新ビルドへ更新してください。
Q. どのバージョンへ更新すればよいですか?
A. ブランチごとに、14.4.8152/15.0.8234/15.1.8335/15.2.8441/15.3.8531/15.4.8630以降が修正ビルドです。8.0〜13.3系の旧バージョンはサポート対象の新しい版への移行を検討してください。正確な情報はProgress公式アドバイザリで確認できます。
Q. Progress SoftwareはMOVEitの会社と同じですか?
A. はい。2023年に世界的な大規模情報漏えいを招いたファイル転送ソフトMOVEit Transferも、Progress Softwareの製品です。今回のSitefinityの件はMOVEitとは別の製品・別の脆弱性ですが、同じ開発元として注目されています。
まとめ
企業向けCMSのProgress Sitefinityで、合計5件の脆弱性が公表されました。最も注意すべきは、ログイン不要で踏めるCVE-2026-7312(CVSS 10.0・連携条件付き)とCVE-2026-7198(CVSS 9.8・狭いバージョン帯のみ)の2件です。数字は深刻ですが、悪用には特定の設定やバージョンが前提になるものが多く、「全部が誰でもすぐ踏める」わけではありません。対応はシンプルで、自社のブランチに応じた修正ビルド(14.4.8152/15.0.8234/15.1.8335/15.2.8441/15.3.8531/15.4.8630以降)へ更新することに集約されます。Sitefinity Insightと連携している環境はとくに優先度が高く、接続キーの作り替えまで含めて対応を計画してください。開発元のProgress SoftwareはMOVEitの開発元でもあり、同社製品の脆弱性は引き続き注視に値します。
参照元
- ▸Progress - Sitefinity Security Advisory(CVE-2026-7312/7198/7195/7201/7313)
- ▸NVD - CVE-2026-7312(認証情報の平文露出・CVSS 10.0)
- ▸NVD - CVE-2026-7198(非公開コンテンツへの不正アクセス・CVSS 9.8)
- ▸NVD - CVE-2026-7195(利用者アカウントの侵害・CVSS 8.8)
- ▸NVD - CVE-2026-7201(アカウント設定の改変・CVSS 8.8)
- ▸NVD - CVE-2026-7313(旧版の認証情報取得・CVSS 8.7)
- ▸NVD - CVE-2023-34362(MOVEit Transfer・2023年の大規模漏えい)
- ▸Progress Sitefinity 公式サイト