Adobe ColdFusionにおいて2026年6月30日に修正パッチが公開された最大深刻度の脆弱性の一つ、CVE-2026-48282が、実際の攻撃で標的にされています。

この脆弱性を狙った悪用の試みは、サイバーセキュリティ脅威インテリジェンスサービスKEVIntelのハニーポットセンサーによって7月2日に検知されました。watchTowrの研究者らが、この脆弱性を含むAdobeが最近修正した複数のColdFusionの欠陥に関する技術分析を公開してから、わずか数分後のことでした。
CVE-2026-48282が危険視される理由
Adobe ColdFusionは、エンタープライズ向けのWebサイトやWebアプリケーションを構築・展開するために広く利用されている開発プラットフォームです。通常はWindowsまたはLinuxサーバー上で稼働します。
7日前、AdobeはCVE-2026-48282とColdFusionに影響する他9件の重大な脆弱性に対するパッチをリリースしたことを公表しました。
CVE-2026-48282の説明、CVSSスコアおよびベクターから、このパストラバーサル脆弱性は、リモートの未認証攻撃者が特別に細工したHTTPリクエストを送信して悪意のあるファイルをWebからアクセス可能な場所にアップロードすることで、任意のコード実行を達成できる可能性があることが示されています。
「攻撃者はWebサーバー経由でアップロードされたファイルに直接アクセスし、現在のユーザーのコンテキストで任意のコードの実行を引き起こします。その後、さらにホストの侵害へとエスカレートすることが可能です」と、ベルギーサイバーセキュリティセンター(Centre for Cybersecurity Belgium)は指摘しています。
watchTowrのレポートでは、この脆弱性がColdFusionのRemote Development Services(RDS)機能に存在すると説明されています。この機能は「開発者のIDE(歴史的にはColdFusion Builder、Dreamweaver、あるいはEclipseプラグイン)が稼働中のColdFusionサーバーとやり取りできるようにするもの」です。
同社によれば、このIDEは「HTTP経由で、ファイルシステムの閲覧、データベースクエリの実行、デバッグ支援を行うことができます」。
Resecurityの研究者らも、この脆弱性の悪用を追跡していると述べており、防御側・攻撃側の双方に役立ち得る追加の詳細情報を公開しています。
悪用の条件と推奨される対策
Adobe ColdFusionの脆弱性は、攻撃者によって定期的に悪用されています。
CVE-2026-48282を悪用するには、攻撃者はRDSが有効化されている(デフォルトでは無効)ColdFusionサーバーであり、かつそのRDSに対する認証が無効化されているサーバーを標的にする必要があります。
Shadowserver Foundationは現在、インターネットに公開されているColdFusionサーバーを約750台追跡していますが、これらのうち何台が依然として脆弱なバージョンのColdFusionを稼働させているか、あるいはRDSが有効化されているかは不明です。
管理者はColdFusion 2025 update 10またはColdFusion 2023 Update 21へのアップグレードが推奨されます。また、自社のサーバーが過去1週間にインターネットに公開されていた、あるいは現在公開されている場合は、ColdFusionのWebルートおよび/CFIDE/ディレクトリ内に不正なファイルがないかなど、侵害の痕跡(IoC)を調査することが推奨されます。
翻訳元: https://www.helpnetsecurity.com/2026/07/07/adobe-coldfusion-cve-2026-48282-exploitation-detected/