概要

Adobeは2026年7月1日、ColdFusionとCampaign Classicに存在する最大深刻度(CVSS 10.0)の脆弱性7件を含むセキュリティアップデートを公開した。中でも注目されているのがColdFusionのパストラバーサル脆弱性CVE-2026-48282で、認証なしでリモートからの任意ファイル書き込みが可能というものだ。KEVIntelの創業者Ryan Dewhurst氏によると、この脆弱性はパッチ公開からわずか2時間以内に、同氏が運用するグローバルハニーポットネットワーク上で実際の悪用が観測されたという。Shadowserverの調査では、インターネット上に露出しているColdFusionインスタンスが約800台確認されており、パッチ未適用の環境は深刻なリスクにさらされている。

修正された脆弱性の詳細

今回のアップデートでは、ColdFusionに6件、Campaign Classicに1件、合計7件のCVSS 10.0の脆弱性が修正された。ColdFusion側の内訳は、危険な種類のファイルの無制限アップロードを許してしまうCVE-2026-48276とCVE-2026-48283、不適切な入力検証に起因しリモートコード実行につながるCVE-2026-48277・CVE-2026-48281・CVE-2026-48316、そして任意ファイル書き込みを許すパストラバーサル脆弱性CVE-2026-48282である。これらはいずれも特権を持たない攻撃者が、ユーザー操作を必要とせず低い攻撃複雑度で悪用できる点が特徴だ。このほかCVSS 9.3の任意ファイル読み取り(CVE-2026-48313)と権限昇格(CVE-2026-48315)も修正されている。影響を受けるのはColdFusion 2025.9および2023.20以前のバージョンで、それぞれColdFusion 2025 Update 10、2023 Update 21で修正済みだ。Campaign Classic側では、不適切な認可に起因し任意コード実行を許すCVE-2026-48286(CVSS 10.0)が修正されたが、こちらはオンプレミス展開のみが影響を受け、Adobeがホストするインスタンスは既にパッチ適用済みとなっている。

実悪用の状況

Adobeは今回のアップデートを全てPriority 1(悪用リスクが高い脆弱性への対応を要する最優先区分)に分類し、管理者に対して「72時間以内」のアップデート適用を強く推奨していた。当初Adobe自身は「これらの脆弱性が実際に悪用されている事実は確認していない」としていたが、その直後にCVE-2026-48282を狙った攻撃が現実のものとなった。インド発とみられるIPアドレスからのファイルシステム読み取りを狙った悪用試行が確認されているほか、Ryan Dewhurst氏はパッチ公開後2時間というごく短時間でハニーポットへの攻撃が捕捉されたと警告している。Shadowserverによれば、約800台のColdFusionインスタンスがオンラインで露出した状態にあるが、この中にどれだけのハニーポットや、既に緩和策が講じられたシステムが含まれるかは不明だとしている。

今後の対応

カナダのサイバーセキュリティセンター(CCCS)は、ユーザーと管理者に対し、進行中の攻撃から自システムを守るため速やかなアップデート適用を呼びかけている。また、Adobeは今回のアップデートに合わせて、セキュリティ情報の公開頻度を見直す方針も発表した。2026年7月14日以降、これまで月1回だったセキュリティ情報の公開を、毎月第2・第4火曜日の月2回に増やすとしており、脆弱性対応の迅速化を図る狙いがあるとみられる。今回のように公開直後から実悪用が始まるケースが相次いでいることを踏まえると、ColdFusionやCampaign Classicの管理者は本アップデートの適用状況を早急に点検する必要がある。