Adobe ColdFusionに深刻な脆弱性、パッチ公開

Adobeは最近のアップデートで、危険な脆弱性群にパッチを適用しました。これらの欠陥の一部は、攻撃者がサーバー上で直接コードを実行できる状態を許してしまうものでした。この深刻な問題は、Adobe ColdFusion 2025からUpdate 9までのバージョンに影響します。また、ColdFusion 2023からUpdate 20までのバージョンにも影響します。さらに、同社はセキュリティ情報APSB26-68で多数の脆弱性の詳細を公表しました。

該当するのはCVE-2026-48276CVE-2026-48277です。さらにCVE-2026-48281CVE-2026-48316CVE-2026-48282CVE-2026-48283も含まれます。これらはすべて深刻度10.0のクリティカル評価となっています。加えて、この情報ではCVE-2026-48307CVE-2026-48313CVE-2026-48315についても言及されています。最後に、CVE-2026-48285と、深刻度が中程度のCVE-2026-48314が挙げられています。これらの欠陥のうち、いくつかは脅威アクターによる任意コード実行を可能にするものでした。他には、攻撃者が機密ファイルを読み取れてしまうものもありました。さらに、権限昇格や重要なセキュリティ機構の回避を許してしまう欠陥もありました。

RDSモジュールの欠陥を分析

セキュリティ専門家はwatchTowr Labsでこれらの重大なパッチを詳細に分析しました。彼らは特にRDSモジュールに焦点を当てました。開発者は通常、ColdFusionのリモート開発用にこの特定のコンポーネントを使用します。このインターフェースを通じて、開発環境は稼働中のサーバーとシームレスにやり取りします。これによりユーザーはファイルの閲覧やデータベースクエリの実行を簡単に行えます。さらに、複雑なデバッグ作業にも大いに役立ちます。

幸いなことに、AdobeはこのRDSモジュールをデフォルトで無効化しています。しかし、watchTowrによれば、説明されている攻撃には有効化されたモジュールが必要となります。具体的には、適切な認証プロトコルを経ずに動作している状態が条件です。最も危険な点は、ファイル操作の処理方法に関わるものでした。従来、ColdFusionは十分な検証を行わずにファイルパスを受け入れていました。単純にそのデータを内部で受け渡していたのです。

任意ファイル書き込みの危険性

その結果、悪意のある攻撃者は容易に許可されていないサーバーディレクトリへアクセスできてしまいました。任意のファイルを読み取ることも可能でした。あるいは、悪意のあるファイルを狙ったロケーションに書き込むこともできました。今回のアップデート後、Adobeは正規化されたパスを厳格に検証するようになりました。システムは絶対パスや親ディレクトリへのトラバーサルを積極的にブロックします。加えて、許可された領域から抜け出そうとする試みも阻止します。

ファイル書き込みが可能だったことで、この問題は劇的に深刻化しました。単純な情報漏えいが、リモートコード実行の脆弱性へと変貌したのです。攻撃者がWebディレクトリにファイルを配置すれば、大惨事につながります。ColdFusionサーバーはその後、新たに作成されたこのファイルを実行してしまうのです。悪意のあるスクリプトを、アプリケーションの一部として実行してしまいます。watchTowrによれば、この任意ファイル書き込みの脆弱性はおそらくCVE-2026-48282に対応するとのことです。一方、任意ファイル読み取りの欠陥はCVE-2026-48313に一致するとみられます。ただし、専門家らは、Adobeが特定のコード修正を個別のCVE識別子に明確に紐づけることはほとんどないと指摘しています。

CKEditorファイルマネージャーの脆弱性

専門家らは、CKEditorファイルマネージャー内にも別の問題群を発見しました。AdobeはこのコンポーネントをColdFusionに直接組み込んでいます。パッチ適用後のバージョンでは、Adobeは追加のファイル拡張子を正式に禁止しました。また、アップロード時のパス検証も厳格に行うようになりました。

この脆弱な機能もデフォルトでは無効化されています。しかし、管理者が手動で有効化していた場合、深刻なリスクが生じます。watchTowrによれば、このアップローダーは認証なしで完全にアクセス可能な状態になっていました。この特定のシナリオでは、攻撃者は悪意のあるパスを送信できました。このパスは許可されたディレクトリの境界を回避するものでした。最終的に、攻撃者はサーバー上の別の場所に危険なファイルを書き込めてしまいます。

タグ処理と最終的な推奨事項

もう一つ修正されたエラーは、ディレクトリの内容を不正に閲覧できてしまうものでした。攻撃者はこの欠陥をCKEditorファイルマネージャー経由で直接悪用していました。さらに、watchTowrはColdFusionのタグ処理に大きな変更が加えられた形跡に気づきました。これらの変更は、ファイルアップロード、メール処理、WebSocket接続に影響します。また、外部リソースやデータ変換処理にも影響を及ぼします。これらの問題を悪用するには、特定の前提条件が必要でした。脆弱なコードを含むカスタムColdFusionページがサーバー上に存在している必要があります。さらに、そのページが悪意のあるユーザー入力を受け付ける状態である必要もあります。

Adobeはすでに必要なセキュリティアップデートをリリース済みです。したがって、ColdFusion管理者は直ちにこれらの最新バージョンをインストールすべきです。また、設定内容も慎重に確認する必要があります。具体的には、RDS、ファイルアップロード、ファイルマネージャーについて、不要であれば無効化されたままになっていることを確認すべきです。このような強力なコンポーネントを扱う際は、たとえ稀な設定であっても細心の注意が求められます。特にサーバーがインターネットから直接アクセス可能な場合は、なおさら重要です。

翻訳元: https://meterpreter.org/adobe-coldfusion-critical-vulnerabilities/

ソース: meterpreter.org