つみかさね

CVE-2025-61813

High(8.2)

CVE-2025-61813 — Adobe ColdFusion XXE による任意ファイル読み取り

公開日: 2026-06-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Adobe ColdFusion 2025Adobe<= 2025.4
Adobe ColdFusion 2023Adobe<= 2023.16
Adobe ColdFusion 2021Adobe<= 2021.22

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用している ColdFusion バージョンを確認する
  2. 2影響バージョン(2021.22、2023.16、2025.4 以前)に該当するか確認する
  3. 3Adobe セキュリティアップデート APSB25-105 を適用する
  4. 4適用後に ColdFusion が正常に動作することを確認する

影響対象

Adobe ColdFusion 2021/2023/2025 利用者

補足

  • -ColdFusion サーバーは外部から直接アクセスできない場合も、内部からの悪用に注意してください
CVEAdobeColdFusionXXE任意ファイル読み取り

概要

Adobe ColdFusion の XML 処理においてXXE(XML External Entity)脆弱性が存在します。外部エンティティへの参照が適切に制限されておらず、細工された XML データを処理させることでサーバーのファイルシステム上の任意ファイルを読み取ることができます。

本脆弱性の悪用にはユーザーインタラクション(被害者にファイルを開かせるなど)が必要であり、スコープの変化(Changed)があります。

CVSSベクトル

要素
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionRequired
ScopeChanged
ConfidentialityHigh
IntegrityNone
AvailabilityNone
CVSSスコア8.2 (High)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Adobe ColdFusion 20252025.4 以前最新アップデート
Adobe ColdFusion 20232023.16 以前最新アップデート
Adobe ColdFusion 20212021.22 以前最新アップデート

修正バージョンと回避策

推奨対応: Adobe が提供するセキュリティアップデート(APSB25-105)を適用してください。

  1. Adobe Security Bulletin APSB25-105 を確認する
  2. 該当バージョンを使用しているサーバーにパッチを適用する

暫定回避策:

  • ColdFusion サーバーへのアクセスを信頼されたユーザーに制限する
  • 外部エンティティ参照を無効にする設定を適用する(ColdFusion Administrator で設定可能)

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-61813
Adobe:https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。