Adobeの深刻なColdFusion脆弱性、攻撃で悪用中

脅威アクターが、Adobe ColdFusionで最近パッチが適用された脆弱性を悪用していることが判明しました。この脆弱性は最高深刻度に格付けされています。

CVE-2026-48282として追跡されているこのセキュリティ欠陥はCVSSスコア10/10で、パストラバーサルにより任意コード実行につながる可能性があると説明されています。

この脆弱性は、Adobeのラピッドアプリケーション開発プラットフォームにおいてコード実行に悪用され得るその他5件の最高深刻度の欠陥とともに、6月30日にパッチが適用されました。

Adobeはこれらの欠陥を解消するため、ColdFusion 2025 Update 10およびColdFusion 2023 Update 21をリリースし、当時これらを標的とした実際の悪用は確認されていないとしていました。

しかし同社は、このセキュリティアップデートに優先度1を割り当て、攻撃者がこれらの欠陥を標的にし始める高いリスクを踏まえ、ユーザーに対し可能な限り早急にパッチを適用するよう呼びかけていました。

ところが、脆弱性インテリジェンスプラットフォームのKEVIntelによると、ハッカーらは公開からわずか2時間以内にCVE-2026-48282の悪用を開始していたということです。

「KEVIntelは、当社のグローバルハニーポットネットワークにおいて実際の悪用行為を捕捉しました」と、KEVIntelの創業者であるRyan Dewhurst氏は述べています

その直後、カナダサイバーセキュリティセンターも、オープンソース情報に基づき、この脆弱性が攻撃で悪用されていると警告を発しました。

Adobeはまだ、この脆弱性が実際に悪用されている件についてアドバイザリを更新していません。SecurityWeekは同社にコメントを求めるメールを送っており、回答があり次第本記事を更新します。

「Adobeは迅速にパッチをリリースしましたが、今回の件で対応可能な時間の窓がいかに劇的に狭まっているかが浮き彫りになりました。報道によれば、攻撃者は公開からわずか2時間以内に脆弱性の悪用を開始しており、多くの組織が本番環境全体でパッチの検証、優先順位付け、テスト、展開を現実的に行えるようになるはるか前のことでした」と、Tuskiraの共同創業者兼CEOであるPiyush Sharma氏はコメントしています。

「課題となるのは、どのシステムが攻撃者から到達可能か、どの脆弱性が攻撃経路を生み出すか、そして修復作業が進行中の間にリスクを軽減できる代替の統制策は何かを見極めることです。開示から悪用までの時間の窓が縮まり続ける中、組織はセキュリティ上の判断の速さと質でますます競い合うことになるでしょう」とSharma氏は付け加えました。

翻訳元: https://www.securityweek.com/critical-adobe-coldfusion-vulnerability-exploited-in-attacks/

ソース: securityweek.com