Adobe は 6月30日 (現地時間)、緊急セキュリティ速報 APSB26-68 を公開し、ColdFusion 2025 / 2023 と Campaign Classic 向けに合計 11 件の脆弱性を修正しました。うち 6 件が最高 CVSS 10.0、Adobe の Priority Rating も最上位の 1 に設定されており、認証不要の遠隔コード実行が成立します。

主なポイント

  • 影響を受けるのは ColdFusion 2025 Update 9 以前と ColdFusion 2023 Update 20 以前、修正版は Update 10 / 21
  • CVSS 10.0 は CVE-2026-48276 / 48277 / 48281 / 48282 / 48283 / 48316 の 6 件、任意コード実行に至る
  • 内訳はアップロード制限不備 (48276, 48283)、入力検証不備 (48277, 48281, 48316)、パストラバーサル (48282) で、認証も利用者操作も不要
  • Adobe は現時点で in-the-wild 悪用は確認していないと明記
  • ColdFusion は過去に KEV 掲載の実績も多く、Priority 1 指定は 72 時間以内の適用が推奨される

出典: Adobe patches seven max severity ColdFusion, Campaign flaws - Bleeping Computer