AdobeがColdFusionとCampaignの深刻な脆弱性7件にパッチを公開

Adobeは、WebアプリケーションプラットフォームのColdFusionと、マーケティングオートメーションプラットフォームのCampaign Classicに存在する最高深刻度の脆弱性7件に対するセキュリティパッチをリリースしました。

これらの脆弱性はいずれも、ユーザー操作を必要としない低複雑度の攻撃で悪用可能であり、悪用リスクが高いことを示す「優先度1」に分類されています。

「本アップデートは、特定の製品バージョンおよびプラットフォームにおいて、攻撃者によって標的にされているか、またはその高いリスクがある脆弱性に対処するものです。管理者はできるだけ早急に(たとえば72時間以内に)アップデートを適用することを推奨します」と、Adobeは説明しています

一方で「今回のアップデートで対処した脆弱性のいずれについても、現時点で野放し状態での悪用は確認されていない」と、同社は火曜日に公開したアドバイザリに追記しています。

深刻度が最高レベルの脆弱性のうち6件(CVE-2026-48276CVE-2026-48277CVE-2026-48281CVE-2026-48316CVE-2026-48282として追跡中)は、ColdFusion バージョン2025.9、2023.20以前に影響します。これらは権限を持たない攻撃者でも悪用可能で、パッチが適用されていないシステム上でリモートコード実行を引き起こす可能性があります。

Campaign Classicにおける最高深刻度の脆弱性(CVE-2026-48286として追跡中)は、バージョン7.4.3 ビルド9396以前に影響します。悪用に成功した場合、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。

Adobeのセキュリティアドバイザリによると、CVE-2026-48286はオンプレミス版のAdobe Campaignインスタンス(完全オンプレミス構成およびハイブリッド構成のオンプレミスコンポーネント)にのみ影響するとのことです。Adobe社がホストするインスタンスについては、すでに修正済みです。

AdobeのCSO(最高セキュリティ責任者)であるAanchal Gupta氏は木曜日、セキュリティアップデートをより迅速に提供するため、同社がセキュリティ情報の公開を月1回から月2回へ移行すると発表しました。

「2026年7月14日より、Adobeはセキュリティ情報・アドバイザリの公開を月次から月2回(毎月第2・第4火曜日)に変更します」とGupta氏は述べています。「積極的に悪用されている脆弱性や、外部から発見されたゼロデイ脆弱性については、引き続き帯域外対応プロセスを維持します。」

4月上旬には、Acrobat Readerの脆弱性(CVE-2026-34621)を修正するための緊急パッチも公開されました。この脆弱性は少なくとも12月以降、ゼロデイ攻撃に悪用されていたことが確認されています。

過去5年間で、サイバーセキュリティ・インフラセキュリティ庁(CISA)はAdobe製品のセキュリティ脆弱性79件を積極的に悪用された脆弱性のカタログに追加しており、そのうち10件はランサムウェアグループによる悪用も確認されています。

攻撃者より先に、すべての防御レイヤーをテストする

セキュリティチームが記録する攻撃の成功率は54%に上る一方、アラートが発火するのはわずか14%に過ぎません。残りの攻撃は検知されることなく環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/adobe-patches-seven-max-severity-coldfusion-campaign-flaws/

ソース: bleepingcomputer.com