CISA、Adobe ColdFusionの脆弱性が任意コード実行につながると警告

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、Adobe ColdFusionの深刻な脆弱性を「Known Exploited Vulnerabilities(KEV)」カタログに追加しました。攻撃者がこの脆弱性を悪用して任意コードを実行できると警告しています。

このCVE-2026-48282として追跡されている脆弱性は、2026年7月7日にカタログへ追加され、連邦機関や各組織には修正までの猶予がほとんど残されていません。

CVE-2026-48282は、Adobe ColdFusionに影響を及ぼすパストラバーサルの脆弱性で、CWE-22(制限されたディレクトリへのパス名の不適切な制限)に分類されています。

パストラバーサルの脆弱性は、攻撃者がファイルパスを操作することで、アプリケーションが本来想定している範囲外のディレクトリやファイルにアクセスできてしまうというもので、ファイルアクセスを制限するセキュリティ制御を回避されるケースが少なくありません。

今回のケースでは、悪用に成功した攻撃者は、ColdFusionプロセスを実行している現在のユーザー権限で任意コードを実行できる可能性があります。

そのユーザーアカウントに与えられている権限次第では、攻撃者に対象システムへの大きな支配権を与えかねません。そのため、初期アクセスや企業環境内での横展開を狙う脅威アクターにとって、格好の標的になり得ます。

CISAは、この脆弱性がランサムウェアキャンペーンで使用されているかどうかについては確認しておらず、勧告では「不明(Unknown)」と記載しています。

しかし、ColdFusionサーバーは企業のWebアプリケーションで広く導入されていることから、日和見的な攻撃・標的型攻撃の双方において、これまでも魅力的な標的とされてきました。

CISAのガイダンスに従う連邦民間機関や各組織には、非常に短い修正期限が課せられています。この脆弱性がKEVカタログに追加されたのは2026年7月7日で、拘束的運用指令(BOD)26-04に基づき、修正期限は2026年7月10日と定められています。

このわずか3日間という猶予期間は、悪用が現に進行している、あるいは悪用が差し迫っている脆弱性に対してCISAが置いている緊急性の高さを反映したものです。各組織は自組織の露出状況の評価を先延ばしにすべきではありません。

影響を受けるAdobe ColdFusionを導入している組織は、以下の対策を講じる必要があります。

CISAは、自組織の資産がどの程度この脆弱性にさらされているかを評価し、BOD 26-04のガイドラインに沿って速やかにパッチを適用する責任は、各関係者にあると強調しています。

翻訳元: https://cyberpress.org/cisa-warns-adobe-coldfusion-flaw/

ソース: cyberpress.org