Adobe ColdFusionのCVE-2026-48282。RDS経由のパストラバーサルが任意コード実行に至る構図と初動
対象の目安: ColdFusionを運用する開発者・情報システム担当 / 実務

Adobe ColdFusionは、CFML(ColdFusion Markup Language)でWebアプリケーションを構築するための実行基盤です。そのColdFusionに脆弱性CVE-2026-48282が見つかり、パス名の制限不備(パストラバーサル)を突かれると、現在のユーザーのコンテキストで任意コード実行に至り得る状態になりました。CVSS v3.1の基本値は最大値の10.0で、悪用に利用者の操作を必要としません。
この記事は、ColdFusionを運用する開発者と情報システムの担当に向けて、なぜRDS(Remote Development Services)経由のファイル操作が任意コード実行の起点になるのかを、Adobeのアドバイザリ(APSB26-68)を一次情報とし、NVDの登録情報とCISA KEV、セキュリティ企業の解析をもとに整理します。あわせて、修正版への更新を必須の第一対応とし、RDSの無効化と露出遮断を多層防御に位置づけた初動の順序と、KEVへの収録を踏まえた優先度の決め方を示します。
RDS経由のパストラバーサルが任意コード実行に至る仕組み
ベンダーの一次情報はAdobeのセキュリティ速報APSB26-68です。CVSSやCWEといった評価値は、CVE情報を集約して分析する登録データベースであるNVDの登録として示されています。NVDの登録情報では、CVE-2026-48282はパス名の制限不備(パストラバーサル)によって現在のユーザーのコンテキストで任意コード実行に至り得る脆弱性とされ、CWE-22(制限されたディレクトリへのパス名の不適切な制限)に分類されています。CVSS v3.1の基本値は10.0で、ベクトルはAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:Hです。認証も利用者操作も不要(PR:N、UI:N)で、攻撃の複雑さも低く(AC:L)、スコープの変更(S:C)を伴う点が最大値の評価につながっています。
Adobeのアドバイザリとしての一次情報や、NVDの登録情報の記述は「パストラバーサルから任意コード実行」という機構までにとどまります。より詳しい経路については、セキュリティ企業の解析(Resecurityなど)によれば次のように説明されています。ColdFusionのRDS(Remote Development Services)は、統合開発環境からリモートのファイルを操作するための機能です。このRDSのファイル操作を担うエンドポイントで、指定されたパスの検証が不十分なため、../のような相対参照を含む入力で本来アクセスできない場所へのファイル書き込みが可能になり得るとされます。攻撃者がここへCFMLのウェブシェルを書き込めれば、以降はそのファイルへアクセスするだけでColdFusionのサービスアカウント権限でコードが実行され得ると解析されています。
RDSは本来リモート開発のための機能で、本番環境では無効化が推奨されてきました。この脆弱性はPR:N(認証不要)とされており、RDSが有効なまま外部へ露出していると、攻撃者がこのエンドポイントへ到達し得る点が危うさを高めます。RDSの無効化や露出遮断は攻撃面を減らすハードニングとして有効ですが、修正パッチの代替にはならないため、修正版への更新を第一に進めます。攻撃の再現手順やリクエストの具体はここでは示しませんが、パス検証の甘さがファイル書き込みを許し、書き込まれたスクリプトが実行に転じるという流れが、CVSS10.0という評価の背景にあります。
RDSのようなリモートのファイル操作機能を突くパストラバーサルは、Webアプリケーションで長く知られてきた欠陥の一種です。パストラバーサルそのものの仕組みと根本的な対策は、次の記事で整理しています。
あわせて読みたい
パストラバーサルとは何か。基準ディレクトリの外へ解決されるパスの脆弱性と根本対策を解説
影響を受ける版と修正の提供
影響を受けるバージョンと修正の提供元は次のとおりです。自組織のColdFusionが該当するかを、まずバージョンで確認します。
| 区分 | 内容 |
|---|---|
| 製品 | Adobe ColdFusion |
| 影響を受ける版 | ColdFusion 2025.9、2023.20およびそれ以前 |
| 修正版 | ColdFusion 2025 Update 10、2023 Update 21(2026年6月30日のAPSB26-68で提供) |
Adobeは2026年6月30日にセキュリティ情報APSB26-68でこの脆弱性へ対処し、修正版としてColdFusion 2025 Update 10と2023 Update 21を提供しました。必須の対応は、この修正版への更新です。更新の適用にあたっては、Adobeのアドバイザリに記載された前提条件や適用手順に従い、対象の版に対応した修正版が反映されているかを確認します。更新の適用に加えて、RDSを本番で使っていない場合は無効化しておくと、攻撃面を減らす多層防御になります。
KEV収録を踏まえた優先度づけ
CISAのKEV(Known Exploited Vulnerabilities)カタログは、悪用が確認された脆弱性を収録し、対応の優先度を判断する材料になります。CISAは2026年7月7日にCVE-2026-48282をKEVカタログへ追加し、連邦機関向けの対応期限を2026年7月10日と定めました。ランサムウェアでの利用については「不明」とされています。KEVへの収録は、実環境で悪用が確認された事実を意味するため、優先度を大きく引き上げる根拠になります。
悪用状況については、Adobeが限定的な実際の悪用を認識していること、そしてCISAが2026年7月7日にKEVへ収録し対応期限を2026年7月10日としたことが、確認済みの事実として押さえるべき点です。セキュリティ企業の解析(Resecurityなど)でも、公開後の短時間で悪用に転じ得た事案として報告されています。観測のタイミングは分単位まで断定しません。CVSSが最大値であることに加え、KEVへの収録と実際の悪用の認識がそろっているため、この脆弱性は影響対象を確認した組織にとって最優先で着手すべき対象になります。
KEVやEPSSを組み合わせて着手順を決める考え方は、次の記事で詳しく扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
運用担当がとる初動の順序
任意コード実行に至り得てKEVにも収録された脆弱性は、修正の適用と到達経路の遮断、そして侵害の調査を並行して進めます。次の順序で手を付けます。
- 1
バージョンを確認する
稼働中のColdFusionのバージョンを確認し、影響対象(2025.9、2023.20およびそれ以前)に該当するかを判定します。開発機やステージング環境を含め、社内で動いているColdFusionを漏れなく洗い出します。
- 2
修正版へ更新する(必須の第一対応)
2026年6月30日のAPSB26-68に基づく修正版(ColdFusion 2025 Update 10、2023 Update 21)へ更新し、修正が反映された状態にします。これがこの脆弱性への必須の対応です。適用の前提条件と手順はAdobe公式のアドバイザリに従い、対象の版に対応した修正版が入っているかを確認します。
- 3
RDSの無効化と露出遮断で攻撃面を減らす
更新と並行して、本番環境でRDS(Remote Development Services)を使っていなければ無効化し、RDS関連エンドポイントの外部露出を遮断します。この脆弱性はPR:N(認証不要)とされるため、RDS認証の有効化を確実な緩和策として単独では頼らず、無効化と露出遮断を主にします。これらは攻撃面を減らす多層防御であり、修正パッチの代替ではありません。
- 4
管理エンドポイントの露出を遮断する
ColdFusionの管理画面やRDS関連のエンドポイントがインターネットへ面していないかを点検し、外部から到達できる場合は社内ネットワークなど必要な範囲へアクセスを絞ります。境界に公開された管理機能は攻撃の起点になりやすいためです。
- 5
侵害を調査する
公開状態で未修正のまま運用していた場合は侵害を疑って調べます。Webルートや書き込み可能なディレクトリに不審なCFMLファイルが置かれていないか、サービスアカウントによる想定外のプロセス起動や外部との不審な通信がないかを確認します。ウェブシェルの設置を狙う脆弱性であるため、ファイル書き込みの痕跡を重点的に見ます。
- 6
公開資産を棚卸しする
インターネットへ公開しているColdFusionやその周辺システムを棚卸しし、露出の削減と更新適用を運用として定着させます。一つのCVE対応で終わらせず、境界に面したアプリケーション基盤全体の管理へ広げます。
RDSの無効化を初動に含めるのは、修正の適用が完了するまでの間も、主要な到達経路を先に塞げるためです。更新の適用とRDSの停止を両輪で進めると、適用に時間がかかる環境でも露出を抑えやすくなります。
境界に公開された機器やシステムがなぜ侵入口として狙われるのか、全体像は次の記事で整理しています。
あわせて読みたい
境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
日々の更新適用を運用へ組み込んでおくことが、この種の事案への基本的な備えになります。ソフトウェア更新の重要性は、次の記事でまとめています。
あわせて読みたい
ソフトウェア更新が脆弱性を塞ぐ仕組みと放置したときのリスク
なお、脆弱性の検証は自組織が管理する環境に限って行い、他者のシステムへの無断のアクセスや検査は不正アクセス禁止法などの関連法令に触れるため行いません。悪用手順の詳細をここで示さないのも同じ理由からです。
まとめ
CVE-2026-48282は、RDS経由のパストラバーサルが任意コード実行に転じる危うさを示した脆弱性です。CVSSは最大値の10.0で、認証も利用者操作も不要とされ、CISAは2026年7月7日にKEVへ収録して連邦機関向けの期限を2026年7月10日としました。影響を受けるのはColdFusion 2025.9、2023.20およびそれ以前で、修正版のColdFusion 2025 Update 10と2023 Update 21が2026年6月30日のAPSB26-68として提供されています。対応の要点は、バージョン確認と修正版への更新を必須の第一対応として急ぎつつ、RDSの無効化と管理エンドポイントの露出遮断を攻撃面低減の多層防御として並行し、公開状態で未修正だった場合はウェブシェル設置を前提に調査することにあります。KEV収録と最大値のCVSSがそろった事案として、影響対象を確認した組織は最優先で着手する判断が求められます。
CVE-2026-48282への対応で確認したいポイント
- 稼働中のColdFusionのバージョンを確認し、影響対象(2025.9、2023.20およびそれ以前)に該当するか判定したか
- APSB26-68に基づく修正版(2025 Update 10 / 2023 Update 21)へ更新し、対象の版に対応した修正が反映されたか確認したか
- 更新と並行して、本番環境のRDSを無効化しRDS関連エンドポイントの外部露出を遮断したか(認証有効化のみに頼っていないか)
- ColdFusionの管理画面やRDS関連のエンドポイントの露出を点検し、外部からの到達を必要な範囲へ絞ったか
- 公開状態で未修正だった場合に、不審なCFMLファイルの設置やサービスアカウントの想定外の挙動を調査したか
- KEV収録と最大値のCVSSを踏まえ、影響対象を最優先で着手する運用へ落とし込んだか
出典・参考
関連する記事
パストラバーサルとは何か。基準ディレクトリの外へ解決されるパスの脆弱性と根本対策を解説
ユーザー入力がファイルパスに連結され「../」で基準ディレクトリの外へ到達されるパストラバーサル(CWE-22)を、なぜ成立するのかという機構から、任意ファイル読取などの想定影響、正規化と許可リストによる根本対策までWebアプリ開発者向けに体系的に整理します。
境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
VPN機器やファイアウォールなど境界に置くエッジ機器の脆弱性が、なぜ侵入口として狙われるのかを一次情報で整理します。攻撃者が公開機器を探索して内部へ横展開する流れ、取引先の機器が踏み台になる側面、パッチ優先度や露出削減といった運用側の対策を解説します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。


