概要
Adobe ColdFusion における不適切な入力検証(CWE-20)により、リモートの攻撃者がユーザー操作なしに現在のユーザーコンテキストで任意のコードを実行できる脆弱性です。スコープが変更される(Scope Changed)評価になっており、影響範囲が広い可能性があります。
Adobe は APSB26-64 として ColdFusion の複数の脆弱性をまとめて公開しており、本 CVE はその中で最も深刻な評価(CVSS 9.6)を受けています。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Changed | 影響範囲が変化する |
| Confidentiality | High | 機密情報漏洩のリスク |
| Integrity | High | データ改ざんのリスク |
| Availability | High | サービス停止のリスク |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Adobe ColdFusion 2023 | 2023.19 以前 | 2023.20 以降 |
| Adobe ColdFusion 2025 | 2025.8 以前 | 2025.9 以降 |
同アドバイザリ(APSB26-64)の関連 CVE
| CVE | CVSS | 概要 |
|---|---|---|
| CVE-2026-47928 | 9.6 | 不適切な入力検証による RCE(本 CVE) |
| CVE-2026-47931 | 8.4 | 不適切な入力検証による RCE |
| CVE-2026-47929 | 8.4 | 認可不備による RCE |
| CVE-2026-47932 | 8.8 | パストラバーサルによるセキュリティ機能バイパス |
| CVE-2026-47930 | 8.1 | 不適切な入力検証によるセキュリティ機能バイパス |
修正バージョンと回避策
修正バージョン: Adobe APSB26-64 で提供されるパッチを適用してください。
回避策: パッチ適用が困難な場合は、ColdFusion サーバーへのインターネットからのアクセスを一時的に制限することを検討してください。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。