Sitecore 6.5を使用しており、XSSの脆弱性:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100004に警告されています。私はSitecore 7にアップグレードする以外の解決策を見つけることができないので、誰かが別の方法を知っていた場合に備えてここで尋ねると思いました。私たちはアップグレードを予定していますが、サイトの複雑さと特定のカスタマイズが行われているため、遠く離れています。アップグレードするまでこの脆弱性に悩まされていませんか?また、これはCMとCDの両方に影響しますか?情報の中には、主にCMにとっての脆弱性であることが示唆されているようです。 2つの異なるサーバーを使用するようにCMとCDを分離し、各サーバーで必要なアクセス許可のみを最小限に抑えるために、それぞれに異なるデータベースユーザーを使用します。Sitecore 6.5 XML制御スクリプトの挿入の脆弱性
他の人が示唆しているように、あなたは本当にアップグレードプロジェクトを進めることを検討する必要があります。 Sitecoreとの特別なサポート契約を購入しない限り、Sitecore 6は正式にサポートされていません。それは...
あなたが言及した脆弱性は、少なくともCMには影響を与えません - 少なくともデフォルト設定ではないことを私に示していません。あなたはこれをテストしましたか?脆弱性文書に記載されているいくつかの例を試してみてください。
http://www.securityfocus.com/archive/1/archive/1/530901/100/0/threaded
あなたが実際に両方のあなたのCMとCDサーバー上で問題を再現できる場合は、お使いのCDの設定から対象サブシステムを取り外し、中の回避策があるかもしれません。これは私のところでは推測です。だから、テストして再テストしてください。
<control template="xmlcontrol" type="Sitecore.Web.UI.XmlControlRenderingType, Sitecore.Kernel" propertyMap="controlName=control name, properties=parameters"/>
これを設定で探し、それを(CDから)削除します。問題が解決したら、少なくとも一時的な回避策が設定されています。あなたのCMボックスはおそらくこの機能が無効になっているので機能しませんので、今のところファイアウォールの後ろにそれを置かなければなりません。とにかく良い練習。
まだSitecoreサポートをお持ちでない場合は、チケットをお持ちいただくことをお勧めします。 – jammykam
6.5からアップグレードすることをお勧めします。セキュリティバグはこのバグであり、6.5に適用されています。https://kb.sitecore.net/articles/020736 –
私は内部のセキュリティチームに通知しました。 この問題に関するサポートチケットを発行することを強くお勧めします。 –