ウェブアプリケーション開発プラットフォームAdobe ColdFusionにおいて、リモートからのコード実行につながる極めて深刻なパス・トラバーサル脆弱性(CVE-2026-48282)が発見され、**公開からわずか数時間で実際に攻撃に悪用されている**ことが確認されました。米CISA(サイバーセキュリティ・インフラセキュリティ庁)はこの脆弱性を「Known Exploited Vulnerabilities Catalog」に追加し、連邦政府機関に対し早急な対応を指示しています。インターネットに公開されているColdFusionサーバーを運用している組織は、直ちにパッチを適用し、システムの侵害有無を確認することが不可欠です。
脆弱性の概要と影響範囲
今回明らかになったCVE-2026-48282は、Adobe ColdFusionのRemote Development Services (RDS) のFILEIOハンドラにおけるパス・トラバーサル(CWE-22)の脆弱性です。この脆弱性を悪用されると、認証されていないリモートの攻撃者が、細工されたHTTPリクエストを送信することで、サーバー上の任意の場所にファイルを書き込むことが可能になります。
特に、ウェブアクセス可能なディレクトリ(Webルートなど)に悪意のあるColdFusion Markup Language (CFML) テンプレートを配置された場合、それが実行されることで、ウェブサーバーの権限で任意のOSコマンドを実行される恐れがあります。
影響を受けるバージョンは、ColdFusion 2025 Update 9 およびそれ以前、ならびにColdFusion 2023 Update 20 およびそれ以前です。
具体的な影響・攻撃シナリオ
この脆弱性の悪用は、ColdFusionのRDS機能が有効で、かつ認証が無効になっている環境で発生します。攻撃者はこの設定の脆弱性を突き、悪意のあるファイルをアップロードし、そのファイルをColdFusionサーバーに実行させることで、以下のシナリオが考えられます。
1. **Webシェル設置によるサーバー乗っ取り**: 攻撃者がウェブシェルをアップロードし、それを介してサーバーを完全に制御します。これにより、機密情報の窃取、改ざん、システムの破壊、他のシステムへの横展開などが可能になります。
2. **データ漏洩**: サーバー上のデータベース認証情報や設定ファイルなど、任意のファイルを読み取られることで、機密情報が外部に漏洩する可能性があります。
CISAは、この脆弱性が公開後すぐに実際の攻撃で悪用されたことを確認しており、広範囲のシステムが危険にさらされる可能性が高いと警告しています。
エンジニアが今すぐ取るべき対策
Adobeは、この脆弱性に対応するセキュリティアップデートを2026年6月30日にリリースしています。 以下の対策を直ちに実施してください。
1. **Adobe ColdFusionのアップデート**: 影響を受けるバージョンを使用している場合は、直ちにColdFusion 2025 Update 10またはColdFusion 2023 Update 21にアップデートしてください。
2. **RDS機能の確認と無効化/制限**: Remote Development Services (RDS) が不要な場合は無効にするか、信頼できるIPアドレスからのアクセスのみに制限してください。
3. **Webサーバーレベルでの追加防御**: ColdFusionがWebサーバー(Nginx, Apacheなど)の背後で動作している場合、パス・トラバーサル攻撃や不正なファイルアップロードを防ぐための設定を強化することが推奨されます。以下はNginxの例ですが、お使いのWebサーバーに合わせて設定を検討してください。これはColdFusionの脆弱性を直接修正するものではなく、多層防御の一環として有効です。
location ~* /(\.\./|%2e%2e/|%2e%2e\) {
deny all;
return 403;
}
# Webルート内の実行不可能なディレクトリへの不正なスクリプトアップロードと実行を防止
location ~* /(uploads|images|media)/.*\.(cfm|php|jsp|asp|aspx)$ {
deny all;
return 403;
}4. **侵害の痕跡調査**: アップデート後も、ColdFusionのWebルートや`/CFIDE/`ディレクトリ内に不正なファイル(Webシェルなど)がアップロードされていないか、ログに不審なアクセスがないかを調査し、侵害の有無を確認してください。
📦