Adobe、ColdFusionとCampaign Classicの重大な脆弱性を修正

Adobeは火曜日、ColdFusionおよびCampaign Classic向けのセキュリティアップデートを発表し、深刻度最高となる脆弱性6件を解消しました。

Adobe Campaign Classicのアップデートでは、解消されたCVE-2026-48286(CVSSスコア10/10)が、攻撃者による任意コード実行を許してしまう不適切な認可の問題です。

この脆弱性に対するパッチはAdobe Campaign Classicバージョン7.4.3ビルド9397に含まれており、現在Windowsおよび Linuxユーザー向けに展開が進められています。

ColdFusionバージョン2025および2023向けに公開されたアップデートでは、11件のセキュリティ上の欠陥に対処しており、そのうち6件は深刻度が最高の10/10となっています。

Adobeのアドバイザリによれば、CVE-2026-48276CVE-2026-48277CVE-2026-48281CVE-2026-48316CVE-2026-48282CVE-2026-48283として追跡されているこれらの脆弱性は、任意コード実行につながる可能性があるとのことです。

Adobeによると、これらの脆弱性の原因は、危険な種類のファイルの無制限アップロード、不適切な入力検証、およびパストラバーサルの弱点にあるとされています。

ColdFusionで解消されたもう2件の重大な脆弱性、CVE-2026-48313CVE-2026-48315(CVSSスコア9.3)は、パストラバーサルおよび不適切な入力検証の問題とされており、任意のファイルシステム読み取りや権限昇格につながる可能性があります。

今回のアップデートでは、任意コード実行につながるXSSの欠陥であるCVE-2026-48307(CVSSスコア8.8)、セキュリティ機能のバイパスにつながるSSRFの脆弱性であるCVE-2026-48285(CVSSスコア8.6)、そして権限昇格につながる中程度の深刻度のパストラバーサルであるCVE-2026-48314も解消されています。

これらすべての脆弱性に対する修正は、ColdFusion 2025 Update 10およびColdFusion 2023 Update 21に含まれています。

Adobeは、これらのセキュリティ上の欠陥を標的とした公開エクスプロイトは把握していないとしていますが、両方のセキュリティアップデートに優先度評価「1」を割り当てており、これは今後攻撃で悪用される可能性があることを示しています。ユーザーは、できるだけ早くアプリケーションを更新するよう推奨されています。

翻訳元: https://www.securityweek.com/adobe-patches-critical-coldfusion-campaign-classic-vulnerabilities/

ソース: securityweek.com