Adobe ColdFusion Critical Vulnerabilities Let Attackers Execute Arbitrary Code
2026/07/01 gbhackers — Adobe が公開したのは、ColdFusion 2025/ 2023 に存在する 11 件の脆弱性に対処する緊急セキュリティ情報 APSB26-68 である。2026年6月30日に公開されたセキュリティ情報において、複数の脆弱性が CVSS 10.0 と評価され、Adobe の最高優先度である Priority Rating 1 が付与されている。それが示すのは、一連の脆弱性に対する積極的な標的化と悪用のリスクが極めて高いことである。

すべての影響を受けるユーザーに対して Adobe は、提供されているパッチを直ちに適用するよう強く推奨している。ただし、現時点においては、これらの脆弱性を悪用する実環境での攻撃は確認されていないとしている。
Adobe ColdFusion の重大な脆弱性
これらの脆弱性による影響は、広範囲かつ深刻である。具体的には、任意コード実行/権限昇格/任意のファイル・システム読み取り/セキュリティ機能のバイパスなどが可能になるため、未認証のリモート攻撃者に対して、脆弱な ColdFusion サーバの完全な制御を許す可能性がある。
影響を受けるバージョンに含まれるのは、すべてのサポート対象プラットフォームにおける、ColdFusion のバージョン 2025 Update 9 以下/ColdFusion バージョン 2023 Update 20 以下である。すでに Adobe は、ColdFusion 2025 Update 10/ColdFusion 2023 Update 21 をリリースし、これらの問題に対処している。
最も深刻な 6 件の脆弱性は、CVSS スコア 10.0 と評価されている。その中に含まれる、無制限のファイル・アップロードの脆弱性 CVE-2026-48276/CVE-2026-48283 (CWE-434) を悪用する未認証のリモート攻撃者は、サーバ上に任意のファイルをアップロードして実行できる。
また、3 件の不適切な入力検証の脆弱性 CVE-2026-48277/CVE-2026-48281/CVE-2026-48316 (CWE-20) も、認証やユーザー操作を必要とせずに、完全な任意のコード実行を引き起こす。その他にも、深刻なパス・トラバーサル脆弱性である CVE-2026-48282 (CWE-22) も CVSS スコア 10.0 と評価されており、リモート・コード実行を可能にする。
上記の CVSS スコア 10.0 の脆弱性に加えて、複数の深刻な欠陥が攻撃対象領域を拡大している。不適切な入力検証の脆弱性 CVE-2026-48313 (CVSS 9.3) を悪用する攻撃者は権限昇格を可能にする。
さらに、サーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2026-48307 (CWE-918/CVSS 8.6) は、サーバサイドにおける不正なアウトバウンド・リクエストを可能にし、セキュリティ機能のバイパスを誘引する。
反射型クロスサイト・スクリプティング脆弱性 CVE-2026-48315 (CWE-79/CVSS 8.8) は、隣接ネットワークからのアクセスを介して、任意のスクリプト実行を可能にする。
また、Important と評価される別のパス・トラバーサル脆弱性 CVE-2026-48314 (CWE-22/CVSS 6.5) は、不適切なディレクトリ制限により権限昇格を可能にする。
これらの脆弱性は、独立系のセキュリティ研究者により、責任ある形で開示されている。
CVE-2026-48283/CVE-2026-48313 の報告については、Anirudh Anand (a0xnirudh) に謝意が示されている。また、Matan Sandori (matans1) および 2Bsecure は、HackerOne 上の Adobe の公開バグ・バウンティ・プログラムを通じて CVE-2026-48307 を報告している。
Adobe が ColdFusion 管理者に対して推奨するのは、安全でないデシリアライズ攻撃への防御を強化するために、最新の MySQL Java Connector へとアップデートし、更新済みのシリアル・フィルタに関するドキュメントを確認することだ。
Adobe ColdFusion は、Web アプリケーションの構築/提供に広く使用されているため、これらの脆弱性は脅威アクターにとって魅力的な攻撃ベクターとなる。
インターネットに公開された環境で ColdFusion を実行しているユーザー組織は、このパッチを Priority Rating 1 の更新として扱うべきである。また、ColdFusion 2025 Update 10 または ColdFusion 2023 Update 21 を遅滞なく適用し、サーバ侵害のリスクを排除すべきである。
訳者後書:Adobe ColdFusion における、外部からの入力やファイルの不適切な取り扱いが、一連の問題の原因となっています。具体的には、制限のないファイルアップロードが可能な CVE-2026-48276 や CVE-2026-48283 、入力の検証が不十分な CVE-2026-48277 などの欠陥があります。また、不正なファイル読み込みにつながるパス・トラバーサルの CVE-2026-48282 や、不適切な入力検証による CVE-2026-48313 なども深刻な影響を及ぼします。これらの原因により、未認証の第三者が、サーバを完全に制御する可能性があります。ご利用のチームは、ご注意ください。よろしければ、Adobe で検索も、ご利用ください。
You must be logged in to post a comment.