Adobeは、2025年9月のPatch Tuesdayアップデートで、ColdFusionおよびCommerceにおける重大な脆弱性を含む、9製品にわたる約20件の脆弱性に対してパッチを公開しました。
重大なColdFusionの脆弱性は、CVE-2025-54261として追跡されており、CVSSスコアは9.0です。任意のファイルシステム書き込みにつながるパストラバーサルの問題と説明されています。この脆弱性は、すべてのプラットフォーム上のColdFusion 2021、2023、2025に影響します。
Adobeによると、CVE-2025-54261が実際に悪用されたという報告は現時点でありませんが、この脆弱性には「1」の優先度が割り当てられており、できるだけ早く(推奨は72時間以内)対処する必要があります。
ColdFusionの脆弱性が攻撃で悪用されることは珍しくありません。直近では、CVE-2024-20767が2024年3月にAdobeによって修正され、2024年12月には実際に悪用されたと報告されています。
インターネットスキャンによると、数十万件のColdFusionインスタンスがウェブ上に公開されており、攻撃に対して脆弱である可能性があります。
CommerceおよびMagento Open Sourceで修正された重大な脆弱性はCVE-2025-54236であり、認証されていない攻撃者がセキュリティ機能をバイパスするために悪用可能です。Magentoの脆弱性もまた、実際に悪用されることがよくあります。
Adobeは、Acrobat Reader、Premiere Pro、Substance 3D Viewer、Experience Manager(AEM)、Dreamweaver、Substance 3D Modelerにおける高深刻度の脆弱性も修正しました。これらのセキュリティホールは、任意のコード実行やセキュリティ機能のバイパスを許す可能性があります。
これらの脆弱性はAdobeのアドバイザリでは「重大」と記載されていますが、CVSSスコアに基づくと「高深刻度」となっている点に注意が必要です。
広告。スクロールして続きをお読みください。
中程度および低深刻度の問題は、Acrobat Reader、Experience Manager(AEM)、After Effectsで解決されています。これらはセキュリティ機能のバイパスやメモリ露出につながる可能性があります。
高深刻度および中深刻度の脆弱性には「3」の優先度が割り当てられており、Adobeはこれらが攻撃で悪用されるとは予想していません。
翻訳元: https://www.securityweek.com/adobe-patches-critical-coldfusion-and-commerce-vulnerabilities/