脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 10.0 NEW KEV 悪用確認
CVE-2026-48282

Adobe ColdFusion パストラバーサル(任意コード実行)

CVE IDCVE-2026-48282
製品Adobe / ColdFusion
CVSS10.0(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
種別 (CWE)CWE-22 パストラバーサル
登録/公開日2026/07/07
KEV 期限2026/07/10 まで(米国連邦機関向け目安)
推奨対応ベンダー指示(Adobe APSB26-68)に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-48282

概要

Adobe ColdFusion(2025.9・2023.20 以前)に存在するパストラバーサルの脆弱性。認証不要・ユーザー操作不要でリモートから悪用可能で、現在のユーザー権限で任意コード実行に至る恐れがある。CISA KEV に登録され、実際に悪用が確認されている。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2/ECS 上で自己管理する ColdFusion を Adobe APSB26-68 の指示に従い更新
AWS のマネージドサービスとしての ColdFusion 提供はなく、ユーザー責任範囲(EC2/ECS の自己管理アプリ)。AWS 固有の修正提供は確認できず。
参照リンク
GCP パッチあり(アプリ更新)
GCE/GKE 上の ColdFusion を APSB26-68 に従い更新
GCP 固有のパッチ提供は確認できず。自己管理アプリのため利用者側でのパッチ適用が必要。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM 上の ColdFusion を APSB26-68 に従い更新
Azure 固有のパッチ提供は確認できず。自己管理アプリのため利用者側でのパッチ適用が必要。
参照リンク
Linux パッチあり(アプリ更新)
Linux 上の ColdFusion を Adobe 提供の更新プログラムで更新
ColdFusion は Adobe 独自製品でディストリのパッケージではないため、Adobe 公式の更新を適用する。ディストリ側 CVE トラッカーの対象外。
参照リンク

解決の方向性(パッチ/回避策/代替)

Adobe セキュリティ速報 APSB26-68 の指示に従い最新パッチを適用するのが基本方針。ColdFusion 管理コンソールをインターネットに直接公開しない、WAF で不審なパストラバーサルパターンを遮断する等の回避策が併用可能。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る