Adobeは緊急セキュリティ情報「APSB26-68」を公開し、Adobe ColdFusion 2025およびColdFusion 2023における11件の脆弱性に対処しました。そのうち複数の脆弱性には、CVSSベーススコアの最高値である10.0が付与されています。
2026年6月30日に公開されたこのセキュリティ情報には、Adobeの最高優先度評価である「Priority 1」が付与されており、これらの脆弱性がすでに攻撃対象となっているか、悪用される可能性が極めて高いことを示しています。
Adobeはすべての影響を受けるユーザーに対し、利用可能なパッチを直ちに適用するよう強く呼びかけています。ただし同社は、現時点でこれらの脆弱性が実際に悪用されている事例は確認していないとしています。
Adobe ColdFusionの重大な脆弱性
これらの脆弱性の影響は広範かつ深刻です。悪用された場合、任意コードの実行や権限の昇格、任意のファイルシステムの読み取り、セキュリティ機能のバイパスが可能となり、リモートの未認証攻撃者が脆弱なColdFusionサーバーを完全に制御できる状態になります。
影響を受けるバージョンは、ColdFusion 2025 Update 9以前のすべてのバージョン、およびColdFusion 2023 Update 20以前のすべてのバージョンで、サポートされているすべてのプラットフォームが対象です。Adobeはこれらの問題をColdFusion 2025 Update 10およびColdFusion 2023 Update 21で修正しており、いずれもすでにダウンロード可能となっています。
最も深刻な脆弱性として、CVSSスコアが最高値の10.0に評価された6件の脆弱性があります。そのうちCVE-2026-48276とCVE-2026-48283は、いずれも無制限ファイルアップロード(CWE-434)に起因するもので、未認証のリモート攻撃者がサーバー上に任意のファイルをアップロードして実行することを可能にします。
CVE-2026-48277、CVE-2026-48281、CVE-2026-48316の3件は不適切な入力検証(CWE-20)に起因しており、認証やユーザーの操作を一切必要とせずに任意コードの完全な実行を可能にします。また、深刻なパストラバーサルの脆弱性(CVE-2026-48282、CWE-22)もCVSS 10.0の評価を受けており、リモートでのコード実行を可能にします。
スコア満点の脆弱性に加え、攻撃対象領域をさらに広げる重大な脆弱性も複数存在します。CVE-2026-48313(不適切な入力検証、CVSS 9.3)は権限昇格を可能にするものです。
また、CVE-2026-48307(サーバーサイドリクエストフォージェリ/SSRF、CWE-918、CVSS 8.6)は不正なアウトバウンドのサーバーサイドリクエストを可能にし、セキュリティ機能のバイパスにつながります。さらに、反射型クロスサイトスクリプティングの脆弱性(CVE-2026-48315、CWE-79、CVSS 8.8)は、隣接ネットワークアクセスを通じた任意コードの実行を可能にします。
もう1件のパストラバーサルの脆弱性(CVE-2026-48314、CWE-22、CVSS 6.5)は「重要(Important)」と評価されており、不適切なディレクトリ制限を悪用した権限昇格を可能にします。
これらの脆弱性は、独立したセキュリティ研究者による責任ある開示によって報告されました。CVE-2026-48283およびCVE-2026-48313の報告には、Anirudh Anand氏(a0xnirudh)がクレジットされています。
また、CVE-2026-48307については、Matan Sandori氏(matans1)および2BsecureがHackerOne上のAdobeの公開バグバウンティプログラムを通じて報告したとして謝辞を受けています。
さらにAdobeは、ColdFusionの管理者に対し、最新のMySQL Java Connectorへの更新と、更新されたシリアルフィルターのドキュメントの確認を推奨しており、安全でないデシリアライズ攻撃への防御強化を呼びかけています。
Adobe ColdFusionはWebアプリケーションの構築・提供に広く利用されているため、これらの脆弱性は脅威アクターにとって重大な攻撃経路となります。
インターネットに公開された環境でColdFusionを運用している組織は、このパッチをPriority 1として扱い、サーバーの侵害リスクを排除するためにColdFusion 2025 Update 10またはColdFusion 2023 Update 21を速やかに適用することが求められます。
翻訳元: https://gbhackers.com/adobe-coldfusion-critical-vulnerabilities/