30秒で判断
対応すべき人:
- Adobe ColdFusion 2025 バージョン 2025.9 以前を運用中
- Adobe ColdFusion 2023 バージョン 2023.20 以前を運用中
- インターネットに公開されているColdFusionサーバーを持つ組織
対応不要な人:
- Adobe ColdFusion を使用していない
- Adobeが提供する修正済みパッチを適用済み
確認方法: Adobe ColdFusion の管理コンソールにログイン後、「サーバーアップデート」セクションでバージョンと適用済みパッチを確認してください。
概要
Adobe ColdFusion に危険なタイプのファイルの無制限アップロードに関する脆弱性が報告されました(CVE-2026-48276、CVSS 10.0)。
この脆弱性により、認証不要かつユーザー操作なしに任意のファイルをアップロードし、サーバー上で任意のコードを実行できる状態となります。スコープが変更されている(Scope: Changed)ことから、悪用された場合の影響が当該コンポーネントを超えて及ぶ可能性があります。
本CVEは単独の問題ではなく、同時期に報告された一連の ColdFusion 脆弱性群の一部です。CVSS 10.0 が5件、9.3 が2件など多数の深刻な問題が確認されています。
関連 ColdFusion 脆弱性一覧(2026年7月公開)
| CVE ID | CVSS | 種別 |
|---|---|---|
| CVE-2026-48276 | 10.0 | 危険なファイルタイプの無制限アップロード(認証不要) |
| CVE-2026-48277 | 10.0 | 不適切な入力検証(認証不要) |
| CVE-2026-48281 | 10.0 | 不適切な入力検証(認証不要) |
| CVE-2026-48282 | 10.0 | パストラバーサルによるRCE(認証不要) |
| CVE-2026-48283 | 10.0 | 危険なファイルタイプの無制限アップロード(認証不要) |
| CVE-2026-48313 | 9.3 | パストラバーサル(任意ファイル読み書き、認証不要) |
| CVE-2026-48315 | 9.3 | 不適切な入力検証(ユーザー操作要) |
| CVE-2026-48307 | 8.8 | 反射型XSS(ユーザー操作要) |
| CVE-2026-48285 | 8.6 | SSRF(認証不要) |
CVSSベクトル(CVE-2026-48276)
| 属性 | 値 |
|---|---|
| Attack Vector | Network(ネットワーク) |
| Attack Complexity | Low |
| Privileges Required | None(認証不要) |
| User Interaction | None(ユーザー操作不要) |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
影響を受けるソフトウェア
| 製品 | 影響バージョン |
|---|---|
| Adobe ColdFusion 2025 | 2025.9 以前 |
| Adobe ColdFusion 2023 | 2023.20 以前 |
修正バージョンと回避策
Adobe から修正パッチが提供されています。Adobe Security Bulletins を参照し、最新のパッチを適用してください。
ColdFusion サーバーがインターネットに公開されている場合は、パッチ適用まで一時的にアクセス制限(WAF等)を設けることを検討してください。
関連リンク
データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
