Adobeは、少なくとも1件の最大深刻度の脆弱性が攻撃者によって悪用されているとの報告を受け、ColdFusionを利用する顧客に対し、直ちにパッチを適用するよう呼びかけました。
同社は6月30日、APSB26-68として公開されたセキュリティ情報の中で、11件のCVEに対するパッチをリリースしました。このうち6件はCVSSスコア10と評価されています。
セキュリティ研究者らは、CVE-2026-48282が脆弱性の公開からわずか数時間のうちに攻撃対象となっていたことを指摘しています。
これは、人気の高いWebアプリ開発プラットフォームに存在するパストラバーサルの脆弱性で、任意のコード実行につながる恐れがあります。
Adobeの脆弱性に関する関連記事: Adobe ColdFusionに新たな脆弱性が発見される
ShadowServer Foundationのデータによると、インターネット上には775件のColdFusionインスタンスが露出しているとのことです。
CVE-2026-48282をはじめ、APSB26-68に記載されたその他の脆弱性は、本稿執筆時点ではCISAの既知悪用脆弱性(KEV)カタログには登録されていませんが、今後登録される可能性は高いとみられます。
これらの最大深刻度の脆弱性は、悪用にユーザー操作を必要としない点が特に危険視されています。
Adobe、パッチ提供のペースを変更
AIが脆弱性の悪用可能期間に与える影響を懸念し、Adobeは6月、セキュリティ情報の公開を月1回から月2回のペースに変更すると発表しました。
Adobeの最高セキュリティ責任者(CSO)であるAanchal Gupta氏は、「月2回のセキュリティ情報公開により、フロンティアAIの時代のペースに追いつくことができます。発見される脆弱性が増えれば、それだけ多くの修正パッチを展開する必要があり、月1回の公開スケジュールではもはや攻撃者の先手を取るには不十分です」と説明しています。
「この新しいペースは、脆弱性発見能力の向上に投資してきた結果です。AIは発見のスピードを加速させますが、レジリエンスを支えるのは依然として基本的な取り組みです。可視性の確保、多層的な制御、継続的な監視、そして脆弱性が見つかり次第迅速に修正を展開する規律が重要になります」
Adobeは、CVE-2026-48282をはじめAPSB26-68のセキュリティ情報で公開されたその他の脆弱性について、現時点で実際の悪用は確認されていないとしています。
とはいえ、同社のColdFusion製品は以前から攻撃者に狙われやすいターゲットです。2023年には、脅威アクターが同プラットフォームを標的にし、クリプトマイニングやDDoSなどの攻撃に利用したことがありました。
翻訳元: https://www.infosecurity-magazine.com/news/exploit-maximum-severity-adobe/