Adobe が 6月30日 (現地時間) の APSB26-68 で修正した ColdFusion 脆弱性のうち、パストラバーサル系の CVE-2026-48282 (CVSS 10.0) について、詳細情報の公開から 2 時間以内に実運用環境での悪用が確認されました (初報は 6月30日、既報)。CISA は 7月7日に Known Exploited Vulnerabilities (KEV) カタログへ追加し、Binding Operational Directive 26-04 に基づき米連邦民間行政各機関 (FCEB) には 7月10日までのパッチ適用を命じています。

主なポイント

  • 影響対象は ColdFusion 2025 Update 9 以前と ColdFusion 2023 Update 20 以前、Update 10 / 21 で修正済み
  • 脆弱性は path traversal 経由の任意コード実行、認証も利用者操作も不要
  • Help Net Security によると exploit は公開から約 2 時間で観測開始、複数の攻撃者による広範なスキャンが進行中
  • CISA は 7月8日付けで Adobe ColdFusion・Langflow・Joomla の 3 件を同時に KEV 追加、FCEB 期限は 7月10日
  • ColdFusion は過去にも KEV 掲載歴が多く、公開サーバは即時のパッチ or 隔離が推奨される

出典: Max severity Adobe ColdFusion flaw now exploited in attacks (BleepingComputer)