
Adobe ColdFusion の緊急パッチ APSB26-68 - CVSS 10.0 が6件並ぶ認証不要 RCE と実務対応
ファイルアップロードやパストラバーサルの定番教科書。
設計段階から脆弱性を防ぐ考え方。
管理画面の多要素認証を物理キーで固める。
当サイトは Amazon.co.jp を宣伝しリンクすることで紹介料を得る手段を提供する、Amazonアソシエイト・プログラムの参加者です。価格・在庫はリンク先の最新情報をご確認ください。
エンタープライズ向けのアプリケーションサーバとして長い歴史を持つ Adobe ColdFusion に、深刻な脆弱性がまとめて見つかりました。Adobe は2026年6月30日、セキュリティ速報 APSB26-68 を公開し、ColdFusion に存在する11件の脆弱性を修正しました。そのうち6件は CVSS 基本値が最大の10.0で、多くが認証を必要とせずにサーバ上で任意コードを実行(RCE)できる、極めて危険な内容です。
ColdFusion は過去にも公開直後から実際に狙われてきた製品であり、Adobe は今回の速報に最優先度である Priority Rating 1 を付け、72時間以内の適用を推奨しています。本記事では、確認できた一次〜準一次情報だけをもとに、何が修正されたのか、そして ColdFusion を運用しているエンジニアが今すぐ何をすべきかを整理します。過去に扱ったSharePoint Server の RCE 脆弱性 CVE-2026-45659と同様、サーバ側の RCE は最優先で塞ぐべき脆弱性クラスです。
NOTE
本記事の CVE 番号・CVSS 値・バージョン情報は、Adobe のセキュリティ速報 APSB26-68 と、Qualys ThreatPROTECT・BleepingComputer・watchTowr Labs の解説で2026年7月時点に確認した内容です。個別脆弱性の詳細な内部実装や PoC は一次ソースで確定できない部分があり、その箇所は本文で「未確認」と明示しています。最新かつ正確な情報は必ず Adobe の該当速報でご確認ください。
概要(まず結論)
- 何が: Adobe ColdFusion(オンプレミス版アプリケーションサーバ)の複数脆弱性。
- 速報: APSB26-68。2026年6月30日公開。
- 件数: ColdFusion 単体で11件。うち6件が CVSS 10.0。
- 主な種別: 不正なファイルアップロード(CWE-434)、パストラバーサル、不適切な入力検証によるリモートコード実行。
- 攻撃条件: 最も深刻なものはネットワーク経由・認証不要で悪用可能。
- 影響バージョン: ColdFusion 2025 Update 9 以前、ColdFusion 2023 Update 20 以前。
- 修正版: ColdFusion 2025 Update 10、ColdFusion 2023 Update 21。
- 優先度: Adobe Priority Rating 1(最優先)。72時間以内の適用を推奨。
- 悪用状況: Adobe は速報時点で「野良の悪用は把握していない」としています。
対策の要点を先に言えば、ColdFusion 2025 は Update 10、2023 は Update 21 へ速やかに更新すること、そしてColdFusion 管理画面や不要な機能をインターネットに露出させないことです。詳細は後述します。
何が CVSS 10.0 なのか
Qualys ThreatPROTECT の整理によれば、APSB26-68 で修正された ColdFusion の脆弱性と深刻度は次の通りです。CVSS 10.0 の6件は、いずれも認証不要(攻撃前提が最小)でコード実行につながりうる評価になっています。
| CVE | CVSS | 種別 |
|---|---|---|
| CVE-2026-48276 | 10.0 | 不正なファイルアップロード |
| CVE-2026-48283 | 10.0 | 不正なファイルアップロード |
| CVE-2026-48277 | 10.0 | 不適切な入力検証 |
| CVE-2026-48281 | 10.0 | 不適切な入力検証 |
| CVE-2026-48316 | 10.0 | 不適切な入力検証 |
| CVE-2026-48282 | 10.0 | パストラバーサル |
| CVE-2026-48313 | 9.3 | パストラバーサル |
| CVE-2026-48315 | 9.3 | 不適切な入力検証 |
| CVE-2026-48307 | 8.8 | クロスサイトスクリプティング |
| CVE-2026-48285 | 8.6 | サーバサイドリクエストフォージェリ |
| CVE-2026-48314 | 6.5 | パストラバーサル |
なお同日には Adobe Campaign Classic 側でも CVSS 10.0 の CVE-2026-48286(オンプレミス版)が修正されており、ColdFusion の6件とあわせて7件の最大深刻度が一度に公表された点が、今回の速報が「CVE 祭り」と呼ばれる理由です。本記事では ColdFusion に絞って解説します。
技術的背景: なぜアップロードとパストラバーサルが RCE になるのか
ColdFusion は .cfm などのテンプレートをサーバ側で実行する仕組みを持ちます。ここが攻撃者にとっての「うまみ」で、攻撃者が制御できる場所に .cfm ファイルを1つ書き込めれば、そのままWebシェルとして任意コードを実行できてしまうのが本質です。
watchTowr Labs の解析では、いくつかの脆弱性の根本原因が具体的に示されています。あくまで危険性を説明するための整理であり、攻撃コードではありません。
1. 不正なファイルアップロード(CVE-2026-48276 など)CKEditor 関連のアップロード処理で、パスパラメータにディレクトリ移動のシーケンスを含められてしまい、意図しない場所へファイルを書き込めた、と報告されています。しかも ColdFusion のプロセスが高権限(Windows では NT AUTHORITY\SYSTEM 相当)で動作している場合、その権限で任意ファイルが配置され、影響が増幅されます。修正では jspf・cfmail・war といった拡張子が明示的にブロックされました。
Remote Development Services(RDS)のファイル操作で、ユーザー指定のファイル名が正規化されずに FileServlet.getFile() へ渡されていました。修正では RdsFileSecurity.resolveCanonical() が追加され、絶対パス、../ などの移動シーケンス、ヌルバイト、許可ディレクトリの外へ抜けるパスが遮断されるようになっています。読み取りだけでなく書き込みも可能だったため、.cfm シェルの設置経由で RCE に至りうる、というのが watchTowr の指摘です。
危険なのは、次のように「ユーザー入力のパスを検証せずファイル操作へ渡す」パターンです。これは ColdFusion に限らない一般的なアンチパターンです。
// アンチパターン: ユーザー入力を正規化せずファイルパスに使う
// filename に "../../wwwroot/shell.cfm" のような値が来ると外へ抜ける
File target = new File(baseDir, request.getParameter("filename"));
writeUploadedBytes(target); // 書き込み先を攻撃者が操作できてしまう安全な実装では、getCanonicalPath() などで正規化したうえで、想定するベースディレクトリ配下に収まっているかを検証し、拡張子もアローリストで制限します。CVE-2026-48277 などの「不適切な入力検証」系については、XSLT や cffeed・cfpop・cfimap といったタグ経由の XXE/SSRF が絡むとされていますが、個別の攻撃連鎖の詳細は本記事執筆時点で一次情報として確定できていません(未確認)。
WARNING
watchTowr の解析では、これらの機能の多く(RDS やアップロード系)は既定で無効とされています。しかし「有効化した瞬間に認証なしで悪用できる」構造のため、開発時に一時的に有効化したまま本番へ持ち込んでいる環境は特に危険です。自組織で RDS を使っていないか、まず確認してください。
影響範囲と確認方法
影響を受けるのは、Adobe が挙げている次のオンプレミス版です。
- ColdFusion 2025: Update 9 およびそれ以前
- ColdFusion 2023: Update 20 およびそれ以前
まずは稼働している ColdFusion のバージョンとアップデート番号を棚卸ししてください。ColdFusion のバージョンは管理画面の System Information で確認できるほか、CFML から次のように取得できます(読み取り専用の確認用)。
<!--- ColdFusion のバージョン情報を確認する(管理者のみ実行) --->
<cfset info = server.coldfusion>
<cfoutput>
ProductVersion: #info.productversion#<br>
ProductLevel: #info.productlevel#
</cfoutput>取得したバージョンを Adobe の速報と突き合わせ、ColdFusion 2025 なら Update 10、2023 なら Update 21 が適用済みかを判断します。あわせて、RDS やファイルアップロード関連機能が不要に有効化されていないか、管理画面と設定ファイルを点検してください。
対策: パッチ適用・緩和・検知
対応の優先順位は明確です。アップデート適用が最優先で、それ以外は補助的な緩和・検知です。
1. アップデートを適用する(最優先)ColdFusion 2025 は Update 10、2023 は Update 21 へ更新します。Adobe は Priority Rating 1 として72時間以内の適用を推奨しています。適用後は、Connector(Web サーバ連携)の再設定など製品ドキュメントで求められる後続手順まで完了させてください。
WARNING
本番へ適用する前に、必ずステージング環境での検証とバックアップを取得してください。ColdFusion のアップデートは Connector や JVM 設定に影響することがあり、動作確認なしの適用はサービス停止につながりえます。
- ColdFusion 管理画面(CF Administrator)や RDS をインターネットへ公開しない。VPN や社内ネットワークの背後に置く。
- 使っていない RDS・アップロード系機能を無効化する。Adobe のロックダウンガイドに沿って不要なコンポーネントを絞る。
- 管理画面の認証を強化し、多要素認証を導入する。
- Web サーバのアクセスログで、
ckeditorのアップロード系エンドポイントや RDS への不審な POST、..を含むパスを監視する。 - ColdFusion のプロセス(Java)から
cmd.exeやpowershell.exe、シェルが子プロセスとして起動していないかを EDR で監視する。 - Web 公開ディレクトリに、身に覚えのない
.cfm・.cfml・.jspファイルが追加されていないか定期的に確認する。
Adobe は速報時点で野良の悪用を把握していないとしています。公開直後に一部の研究者が CVE-2026-48282 への探索・標的化を報告しましたが、Adobe は本記事執筆時点(2026年7月8日)でも「APSB26-68 のいずれの脆弱性についても悪用は確認していない」との立場を維持しており、CISA の Known Exploited Vulnerabilities(KEV)カタログにも同日時点で未掲載です。とはいえ ColdFusion は公開直後から狙われやすい製品であり、CVSS 10.0 が6件並ぶ状況を放置するリスクは高いです。週明けまで先延ばしにせず今日のうちに適用計画を立てることを強く推奨します。
まとめ
APSB26-68 は、Adobe ColdFusion に11件の脆弱性、うち6件が CVSS 10.0 という深刻な内容の速報です。不正ファイルアップロードとパストラバーサルが .cfm シェル設置経由で認証不要の RCE につながる構造で、Adobe も最優先での適用を求めています。
- 今すぐやること: ColdFusion のバージョン棚卸しと、RDS・アップロード機能の有効化状況の確認。
- まだなら: ColdFusion 2025 は Update 10、2023 は Update 21 へ更新し、後続手順まで完了させる。
- 並行して: 管理画面と RDS の外部公開の見直し、Web プロセスからのコマンド実行と不審な
.cfmの監視。
本記事の PoC・個別の攻撃連鎖・悪用状況の一部は一次情報で確定できていない部分があり、それらは「未確認」と明示しました。確定情報は Adobe の速報でご確認ください。関連して、サーバ側 RCE の攻撃発想と防御の勘所はSharePoint Server の RCE 脆弱性 CVE-2026-45659や2026年の主要セキュリティインシデントまとめもあわせて参照すると理解が深まります。


