Adobe Patches Critical Apache Tika Bug in ColdFusion
2026/01/13 SecurityWeek — Adobe が発表したのは、2026年1月の月例パッチにおいて 11 製品を対象としたセキュリティ・アップデートのリリースと、合計 25 件に及ぶ脆弱性の修正である。その中で、最も深刻な脆弱性 CVE-2025-66516 (CVSS:10) は、Apache Tika モジュールにおける XML 外部エンティティ (XXE) インジェクションに起因するものだ。具体的には、PDF ドキュメント内に配置された XFA ファイルを介して悪用される可能性がある。
このセキュリティ欠陥は、2025年12月初旬に Apache により修正されたものである。この脆弱性が悪用されると、情報漏洩/SSRF 攻撃/サービス拒否 (DoS) につながる可能性があると、Apache は警告していた。
1月13日 (火) に Adobe は、ColdFusion のセキュリティ・アップデートのリリースにおいて、CVE-2025-66516 に対処した。すべてのプラットフォームにおける、ColdFusion 2025 Update 5 以前/2023 Update 17 以前のバージョンが影響を受けると説明されている。
この脆弱性の修正バージョンは、ColdFusion 2025 Update 6/ColdFusion 2023 Update 18 となる。Adobe はセキュリティ情報の優先度を “1” に設定し、ユーザーに対して迅速なアップデート適用を促している。
2026年1月の Patch Tuesday でアップデートされた、もう1つの Adobe 製品は Dreamweaver である。このセキュリティ更新により、深刻度の高い脆弱性5件が修正された。その内訳は、任意のコード実行につながる脆弱性が4件、任意のシステム・ファイル書き込みにつながる脆弱性が1件である。
また、Bridge/Illustrator/InCopy/InDesign/Substance 3D Modeler/Substance 3D Sampler/Substance 3D Stager/Substance 3D Painter においても、深刻度の高いセキュリティ欠陥が修正された。一部の製品では、深刻度が Medium レベルの欠陥も修正されている。
さらに Adobe は、Substance 3D Designer に存在する深刻度 Medium の脆弱性の修正もリリースし、メモリ・リークにつながる可能性があると警告している。
Adobe は、これらの脆弱性の、実際の環境での悪用については言及していない。詳細については Adobe のセキュリティ・アドバイザリを参照する必要がある。
また、Microsoft も同日に、攻撃で悪用されたゼロデイ脆弱性を含む 112 件の脆弱性を修正した。
2026年1月の月例パッチでは多くの製品が対象となりましたが、特に注意が必要なのは ColdFusion の脆弱性 CVE-2025-66516 です。この問題の原因は、Apache Tika モジュールにおける XML 外部エンティティ (XXE) インジェクションにあります。具体的には、PDF内のファイルを処理する際の不備を突かれ、機密情報の漏洩などを招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-66516 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.