製品・ソフトウェアに関する情報

JVN脆弱性詳細

Progress Software CorporationのSitefinityにおける認証情報の不十分な保護に関する脆弱性

タイトル	Progress Software CorporationのSitefinityにおける認証情報の不十分な保護に関する脆弱性
概要	CWE-522: Progress Sitefinityのバージョン14.0.7700から14.4.8152、15.0.8200から15.0.8234、15.1.8300から15.1.8335、15.2.8400から15.2.8441、15.3.8500から15.3.8531、および15.4.8600から15.4.8630のWebサービスにおいて認証情報の保護が不十分であるため、リモートの未認証攻撃者がSitefinity Insightサービスに接続するために使用される平文の認証情報を取得できる可能性があります。攻撃が成功するには、Sitefinity Insightとのアクティブな統合およびデフォルト以外のサイト設定が必要です。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月2日0:00
登録日	2026年6月8日11:44
最終更新日	2026年6月8日11:44

影響を受けるシステム

Progress Software Corporation

Sitefinity 14.0.7700 以上 14.4.8152 未満

Sitefinity 15.0.8200 以上 15.0.8234 未満

Sitefinity 15.1.8300 以上 15.1.8335 未満

Sitefinity 15.2.8400 以上 15.2.8441 未満

Sitefinity 15.3.8500 以上 15.3.8531 未満

Sitefinity 15.4.8600 以上 15.4.8630 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-7312	https://www.cve.org/CVERecord?id=CVE-2026-7312
National Vulnerability Database (NVD)
2	CVE-2026-7312	https://nvd.nist.gov/vuln/detail/CVE-2026-7312

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-522	https://cwe.mitre.org/data/definitions/522.html

ベンダー情報

No	名前	URL
Progress Community
1	Sitefinity Security Advisory for Addressing Security Vulnerabilities CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201, CVE-2026-7313, May 2026 - Progress Community	https://community.progress.com/s/article/Sitefinity-Security-Advisory-for-Addressing-Security-Vulnerabilities-CVE-2026-7312-CVE-2026-7198-CVE-2026-7195-CVE-2026-7201-CVE-2026-7313-May-2026

変更履歴

No	変更内容	変更日
1	[2026年06月08日] 掲載	2026年6月8日11:44

NVD脆弱性情報

CVE-2026-7312

概要	CWE‑522: Insufficiently Protected Credentials in web services in Progress Sitefinity version from 14.0.7700 to 14.4.8152, and 15.0.8200 to 15.0.8234, and 15.1.8300 to 15.1.8335, 15.2.8400 to 15.2.8441, 15.3.8500 to 15.3.8531, and 15.4.8600 to 15.4.8630 allows a remote unauthenticated attacker to obtain plain-text credentials used connect to Sitefinity Insight service. Successful exploitation requires active integration with Sitefinity Insight and non-default site configuration.
公表日	2026年6月2日23:17
登録日	2026年6月3日4:18
最終更新日	2026年6月4日22:09

影響を受けるソフトウェアの構成