製品・ソフトウェアに関する情報
Vulnerability Search
Progress Software CorporationのSitefinityにおけるユーザ制御の鍵による認証回避に関する脆弱性
Title Progress Software CorporationのSitefinityにおけるユーザ制御の鍵による認証回避に関する脆弱性
Summary

CWE-639: Progress Sitefinityのバージョン15.2.8441未満、15.3.8531未満、および15.4.8630未満の15.2.x、15.3.x、および15.4.xにおいて、ウェブサービスのユーザー制御キーを介した認可バイパスの脆弱性があります。この脆弱性により、リモートの認証済み攻撃者が他のユーザーのアカウントプロパティを変更でき、アカウントの侵害が発生する可能性があります。悪用が成功するためには、一般に低権限ユーザーには公開されていない値を知っている必要があります。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 2, 2026, midnight
Registration Date June 8, 2026, 11:44 a.m.
Last Update June 8, 2026, 11:44 a.m.
CVSS3.0 : 重要
Score 8.8
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Affected System
Progress Software Corporation
Sitefinity 15.2.8400 以上 15.2.8441 未満
Sitefinity 15.3.8500 以上 15.3.8531 未満
Sitefinity 15.4.8600 以上 15.4.8630 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月08日]
  掲載		 June 8, 2026, 11:44 a.m.
NVD Vulnerability Information
CVE-2026-7201
Summary

CWE-639: Authorization Bypass Through User-Controlled Key in web services in Progress Sitefinity 15.2.x before 15.2.8441, 15.3.x before 15.3.8531, and 15.4.x before 15.4.8630 allows a remote authenticated attacker to modify account properties of other users, potentially leading to account compromise. Successful exploitation requires knowledge of values that are not generally exposed to low-privileged users.

Publication Date June 2, 2026, 11:17 p.m.
Registration Date June 3, 2026, 4:18 a.m.
Last Update June 4, 2026, 9:42 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:progress:sitefinity:*:*:*:*:*:*:*:* 15.2.8400 15.2.8441
cpe:2.3:a:progress:sitefinity:*:*:*:*:*:*:*:* 15.3.8500 15.3.8531
cpe:2.3:a:progress:sitefinity:*:*:*:*:*:*:*:* 15.4.8600 15.4.8630
Related information, measures and tools
Common Vulnerabilities List