製品・ソフトウェアに関する情報

JVN脆弱性詳細

Progress Software CorporationのSitefinityにおける認証情報の不十分な保護に関する脆弱性

Title	Progress Software CorporationのSitefinityにおける認証情報の不十分な保護に関する脆弱性
Summary	CWE-522: Progress Sitefinityのバージョン14.0.7700から14.4.8152、15.0.8200から15.0.8234、15.1.8300から15.1.8335、15.2.8400から15.2.8441、15.3.8500から15.3.8531、および15.4.8600から15.4.8630のWebサービスにおいて認証情報の保護が不十分であるため、リモートの未認証攻撃者がSitefinity Insightサービスに接続するために使用される平文の認証情報を取得できる可能性があります。攻撃が成功するには、Sitefinity Insightとのアクティブな統合およびデフォルト以外のサイト設定が必要です。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 2, 2026, midnight
Registration Date	June 8, 2026, 11:44 a.m.
Last Update	June 8, 2026, 11:44 a.m.

Affected System

Progress Software Corporation

Sitefinity 14.0.7700 以上 14.4.8152 未満

Sitefinity 15.0.8200 以上 15.0.8234 未満

Sitefinity 15.1.8300 以上 15.1.8335 未満

Sitefinity 15.2.8400 以上 15.2.8441 未満

Sitefinity 15.3.8500 以上 15.3.8531 未満

Sitefinity 15.4.8600 以上 15.4.8630 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-7312	https://www.cve.org/CVERecord?id=CVE-2026-7312
National Vulnerability Database (NVD)
2	CVE-2026-7312	https://nvd.nist.gov/vuln/detail/CVE-2026-7312

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-522	https://cwe.mitre.org/data/definitions/522.html

ベンダー情報

No	Name	URL
Progress Community
1	Sitefinity Security Advisory for Addressing Security Vulnerabilities CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201, CVE-2026-7313, May 2026 - Progress Community	https://community.progress.com/s/article/Sitefinity-Security-Advisory-for-Addressing-Security-Vulnerabilities-CVE-2026-7312-CVE-2026-7198-CVE-2026-7195-CVE-2026-7201-CVE-2026-7313-May-2026

Change Log

No	Changed Details	Date of change
1	[2026年06月08日] 掲載	June 8, 2026, 11:44 a.m.

NVD Vulnerability Information

CVE-2026-7312

Summary	CWE‑522: Insufficiently Protected Credentials in web services in Progress Sitefinity version from 14.0.7700 to 14.4.8152, and 15.0.8200 to 15.0.8234, and 15.1.8300 to 15.1.8335, 15.2.8400 to 15.2.8441, 15.3.8500 to 15.3.8531, and 15.4.8600 to 15.4.8630 allows a remote unauthenticated attacker to obtain plain-text credentials used connect to Sitefinity Insight service. Successful exploitation requires active integration with Sitefinity Insight and non-default site configuration.
Publication Date	June 2, 2026, 11:17 p.m.
Registration Date	June 3, 2026, 4:18 a.m.
Last Update	June 4, 2026, 10:09 p.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	https://community.progress.com/s/article/Sitefinity-Security-Advisory-for-Addressing-Security-Vulnerabilities-CVE-2026-7312-CVE-2026-7198-CVE-2026-7195-CVE-2026-7201-CVE-2026-7313-May-2026	security@progress.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-522	認証情報の不十分な保護	https://cwe.mitre.org/data/definitions/522.html