Adobe ColdFusion 2025/2023 緊急アップデート:RCE などの深刻な 11件の脆弱性に対応

Adobe ColdFusion Critical Vulnerabilities Let Attackers Execute Arbitrary Code

2026/07/01 gbhackers — Adobe が公開したのは、ColdFusion 2025/ 2023 に存在する 11 件の脆弱性に対処する緊急セキュリティ情報 APSB26-68 である。2026年6月30日に公開されたセキュリティ情報において、複数の脆弱性が CVSS 10.0 と評価され、Adobe の最高優先度である Priority Rating 1 が付与されている。それが示すのは、一連の脆弱性に対する積極的な標的化と悪用のリスクが極めて高いことである。

すべての影響を受けるユーザーに対して Adobe は、提供されているパッチを直ちに適用するよう強く推奨している。ただし、現時点においては、これらの脆弱性を悪用する実環境での攻撃は確認されていないとしている。

Adobe ColdFusion の重大な脆弱性

これらの脆弱性による影響は、広範囲かつ深刻である。具体的には、任意コード実行/権限昇格/任意のファイル・システム読み取り/セキュリティ機能のバイパスなどが可能になるため、未認証のリモート攻撃者に対して、脆弱な ColdFusion サーバの完全な制御を許す可能性がある。

影響を受けるバージョンに含まれるのは、すべてのサポート対象プラットフォームにおける、ColdFusion のバージョン 2025 Update 9 以下/ColdFusion バージョン 2023 Update 20 以下である。すでに Adobe は、ColdFusion 2025 Update 10/ColdFusion 2023 Update 21 をリリースし、これらの問題に対処している。

最も深刻な 6 件の脆弱性は、CVSS スコア 10.0 と評価されている。その中に含まれる、無制限のファイル・アップロードの脆弱性 CVE-2026-48276/CVE-2026-48283 (CWE-434) を悪用する未認証のリモート攻撃者は、サーバ上に任意のファイルをアップロードして実行できる。

また、3 件の不適切な入力検証の脆弱性 CVE-2026-48277/CVE-2026-48281/CVE-2026-48316 (CWE-20) も、認証やユーザー操作を必要とせずに、完全な任意のコード実行を引き起こす。その他にも、深刻なパス・トラバーサル脆弱性である CVE-2026-48282 (CWE-22) も CVSS スコア 10.0 と評価されており、リモート・コード実行を可能にする。

上記の CVSS スコア 10.0 の脆弱性に加えて、複数の深刻な欠陥が攻撃対象領域を拡大している。不適切な入力検証の脆弱性 CVE-2026-48313 (CVSS 9.3) を悪用する攻撃者は権限昇格を可能にする。

さらに、サーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2026-48307 (CWE-918/CVSS 8.6) は、サーバサイドにおける不正なアウトバウンド・リクエストを可能にし、セキュリティ機能のバイパスを誘引する。

反射型クロスサイト・スクリプティング脆弱性 CVE-2026-48315 (CWE-79/CVSS 8.8) は、隣接ネットワークからのアクセスを介して、任意のスクリプト実行を可能にする。

また、Important と評価される別のパス・トラバーサル脆弱性 CVE-2026-48314 (CWE-22/CVSS 6.5) は、不適切なディレクトリ制限により権限昇格を可能にする。


これらの脆弱性は、独立系のセキュリティ研究者により、責任ある形で開示されている。

CVE-2026-48283/CVE-2026-48313 の報告については、Anirudh Anand (a0xnirudh) に謝意が示されている。また、Matan Sandori (matans1) および 2Bsecure は、HackerOne 上の Adobe の公開バグ・バウンティ・プログラムを通じて CVE-2026-48307 を報告している。

Adobe が ColdFusion 管理者に対して推奨するのは、安全でないデシリアライズ攻撃への防御を強化するために、最新の MySQL Java Connector へとアップデートし、更新済みのシリアル・フィルタに関するドキュメントを確認することだ。

Adobe ColdFusion は、Web アプリケーションの構築/提供に広く使用されているため、これらの脆弱性は脅威アクターにとって魅力的な攻撃ベクターとなる。

インターネットに公開された環境で ColdFusion を実行しているユーザー組織は、このパッチを Priority Rating 1 の更新として扱うべきである。また、ColdFusion 2025 Update 10 または ColdFusion 2023 Update 21 を遅滞なく適用し、サーバ侵害のリスクを排除すべきである。