Adobeは緊急セキュリティ情報「APSB26-68」を公開し、ColdFusion 2025とColdFusion 2023にまたがる11件の脆弱性を修正しました。このうち6件はCVSS最高値の10.0を記録しています。
2026年6月30日に公開されたこのセキュリティ情報には、Adobeの優先度評価で最上位となる「Priority Rating 1」が付与されています。これは、攻撃者がすでに悪用しているか、近いうちに標的にする可能性が極めて高い脆弱性に割り当てられる区分です。
Adobeは現時点で実際の悪用事例を確認していないとしていますが、すべての顧客に対して速やかなパッチ適用を強く呼びかけています。
これらの脆弱性は総合すると、任意コード実行、権限昇格、不正なファイルシステム読み取り、そして組み込みのセキュリティ保護機能の回避につながる可能性があります。
実際のところ、有効な認証情報を持たないリモートの攻撃者でも、インターネットに露出したColdFusionインスタンスの完全な制御を奪える恐れがあり、今回のパッチサイクルはAdobeが同プラットフォーム向けに近年配布した中でも特に危険度の高いものの一つと言えます。
影響を受けるのはColdFusion 2025(Update 9以前)およびColdFusion 2023(Update 20以前)で、サポート対象のすべてのオペレーティングシステムに及びます。修正版はColdFusion 2025 Update 10およびColdFusion 2023 Update 21として提供されており、いずれもすでにダウンロード可能です。
2件のファイルアップロードに関する脆弱性(CVE-2026-48276、CVE-2026-48283)では、認証を経ていない攻撃者が悪意あるファイルをサーバー上に直接設置して実行できてしまいます。
3件の入力検証の不備(CVE-2026-48277、CVE-2026-48281、CVE-2026-48316)も、不正な形式のリクエスト処理を通じて同様の結果をもたらします。一方、CVSS満点(10.0)グループの最後を締めくくるCVE-2026-48282は、ディレクトリトラバーサルによってコード実行につながる脆弱性です。
最高深刻度の脆弱性以外にも、CVE-2026-48313はパストラバーサルにより機微なファイルを露出させ、CVE-2026-48307はSSRFを介してセキュリティ制御を回避することを可能にし、CVE-2026-48315は反射型XSSと隣接ネットワークからのアクセスを組み合わせてコード実行を達成します。
「重要(Important)」評価が付いた唯一の脆弱性であるCVE-2026-48314も、ディレクトリ制限の甘さを突いた権限昇格を許してしまいます。
研究者のAnirudh Anand氏がCVE-2026-48283とCVE-2026-48313を報告したほか、Matan Sandori氏と2BsecureがAdobeのHackerOneバグ報奨金プログラムを通じてCVE-2026-48307を報告しています。
Adobeのセキュリティ情報によると、管理者はMySQL Java Connectorをアップグレードし、安全でないデシリアライゼーション攻撃へのリスクを軽減するため、更新されたフィルター設定ガイダンスを参照するべきだとしています。
ColdFusionはエンタープライズ向けWebアプリケーションで広く利用されていることを踏まえると、インターネットに公開されたインスタンスを運用している組織は、このセキュリティ情報を最優先で対応すべき緊急課題として扱い、これらの攻撃経路が悪用される前にUpdate 10またはUpdate 21を直ちに導入する必要があります。
翻訳元: https://cyberpress.org/adobe-coldfusion-critical-flaws/