つみかさね

CVE-2026-48276

Critical(10)

Adobe ColdFusionの認証不要RCE CVE-2026-48276:影響範囲と対応方法

公開日: 2026-07-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Adobe ColdFusion 2025Adobe<= 2025.9
Adobe ColdFusion 2023Adobe<= 2023.20

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1ColdFusion の管理コンソールでバージョンと適用済みパッチを確認
  2. 2Adobe Security Bulletins から最新のパッチを取得
  3. 3パッチを適用し、ColdFusionサービスを再起動
  4. 4パッチ適用まで公開サーバーへのアクセスをWAF等で一時制限することを検討

影響対象

Adobe ColdFusion サーバー利用者

補足

  • -認証不要・ユーザー操作不要のため、インターネット公開環境では特に緊急性が高い
  • -CVE-2026-48276単独ではなく、同時期に複数の深刻な脆弱性が報告されているため、まとめてパッチ適用を推奨
CVEAdobeColdFusionRCEファイルアップロード

30秒で判断

対応すべき人:

  • Adobe ColdFusion 2025 バージョン 2025.9 以前を運用中
  • Adobe ColdFusion 2023 バージョン 2023.20 以前を運用中
  • インターネットに公開されているColdFusionサーバーを持つ組織

対応不要な人:

  • Adobe ColdFusion を使用していない
  • Adobeが提供する修正済みパッチを適用済み

確認方法: Adobe ColdFusion の管理コンソールにログイン後、「サーバーアップデート」セクションでバージョンと適用済みパッチを確認してください。


概要

Adobe ColdFusion に危険なタイプのファイルの無制限アップロードに関する脆弱性が報告されました(CVE-2026-48276、CVSS 10.0)。

この脆弱性により、認証不要かつユーザー操作なしに任意のファイルをアップロードし、サーバー上で任意のコードを実行できる状態となります。スコープが変更されている(Scope: Changed)ことから、悪用された場合の影響が当該コンポーネントを超えて及ぶ可能性があります。

本CVEは単独の問題ではなく、同時期に報告された一連の ColdFusion 脆弱性群の一部です。CVSS 10.0 が5件、9.3 が2件など多数の深刻な問題が確認されています。

関連 ColdFusion 脆弱性一覧(2026年7月公開)

CVE IDCVSS種別
CVE-2026-4827610.0危険なファイルタイプの無制限アップロード(認証不要)
CVE-2026-4827710.0不適切な入力検証(認証不要)
CVE-2026-4828110.0不適切な入力検証(認証不要)
CVE-2026-4828210.0パストラバーサルによるRCE(認証不要)
CVE-2026-4828310.0危険なファイルタイプの無制限アップロード(認証不要)
CVE-2026-483139.3パストラバーサル(任意ファイル読み書き、認証不要)
CVE-2026-483159.3不適切な入力検証(ユーザー操作要)
CVE-2026-483078.8反射型XSS(ユーザー操作要)
CVE-2026-482858.6SSRF(認証不要)

CVSSベクトル(CVE-2026-48276)

属性
Attack VectorNetwork(ネットワーク)
Attack ComplexityLow
Privileges RequiredNone(認証不要)
User InteractionNone(ユーザー操作不要)
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh

影響を受けるソフトウェア

製品影響バージョン
Adobe ColdFusion 20252025.9 以前
Adobe ColdFusion 20232023.20 以前

修正バージョンと回避策

Adobe から修正パッチが提供されています。Adobe Security Bulletins を参照し、最新のパッチを適用してください。

ColdFusion サーバーがインターネットに公開されている場合は、パッチ適用まで一時的にアクセス制限(WAF等)を設けることを検討してください。

関連リンク


データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。