Adobe Calls Urgent Attention to Critical ColdFusion Flaws
2025/04/08 SecurityWeek — 4月8日 (火) に Adobe がリリースしたのは、コンピュータ・システムに対するリモート制御される可能性がある、深刻な脆弱性に対する大量のセキュリティ・アップデートである。今月の Adobe Patch Tuesday は、ColdFusion/FrameMaker/Photoshop/Commerceといった企業向け製品における、合計で 54件の深刻な脆弱性に対処するものだ。
同社は、Web 開発プラットフォーム ColdFusion への、緊急対応を呼びかけている。少なくとも 15件の脆弱性が存在し、任意のファイル・システムの読取/任意のコード実行/セキュリティ機能のバイパスといったリスクに、ユーザー組織をさらす可能性があると警告している。
Adobe は、ColdFusion の問題のうち11件に対して、CVSSスコアで 7.5 〜 9.1 Important と評価している。これらのバグの悪用により、不適切な入力検証/信頼できないデータのデシリアライズ/認証の脆弱性が引き起こされ、任意のコード実行やファイル・システムの読取りいたる可能性があるとしている。
また、Adobe Commerce プラットフォームに存在する、5件の脆弱性にもパッチが適用されている。Adobe の警告は、これらのバグにより、権限昇格/サービス拒否/セキュリティ・バイパスなどの攻撃の可能性があるというものだ。
Adobe ColdFusion/Commerce は、国家レベルの APT グループなどの、脅威アクターたちの標的として多用されている。
さらに Adobe は、Adobe Premiere Pro のユーザーに対し、リモート・コード実行の可能性を警告し、提供されている修正プログラムを速やかに適用するよう呼びかけている。
また、Adobe は、After Effects の7件の脆弱性と、Adobe Media Encoder の2の脆弱性、Adobe Bride/AEM Forms/Photoshop/Animate/FrameMaker の脆弱性に対しても、修正プログラムをリリースしている。
Adobe 製品群に存在していた 54 件の脆弱性に対して、修正が公開されました。文中でも触れられているとおり、Adobe ColdFusion や Commerce は、脅威アクターたちによく狙われる製品です。該当製品をご利用中の方は、早急な対応をご検討ください。よろしければ、以下の関連記事も、Adobe で検索と併せてご利用下さい。
2025/02/25:Adobe の CVE-2017-3066 などが CISA KEV に登録
2024/12/16:Adobe ColdFusion の脆弱性が CISA KEV に登録
2024/10/02:Adobe Commerce/Magento への CosmicSting 侵害
IoT OT Security News 
You must be logged in to post a comment.