Adobe ColdFusionにCVSS 10.0の重大脆弱性7件、未認証で完全乗っ取りが可能な緊急パッチを公開

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「Adobe ColdFusionを使っているサーバーが狙われているって本当?」
「CVSSが10.0って聞いたけど、すぐパッチを当てないといけないの?」

チップス

ボスっ!ColdFusionに超ヤバい脆弱性が出たってSNSで流れてるんでしゅけど、これって本当に危ないんでしゅか?

ボス

ああ、本当だ。AdobeがColdFusionとCampaign Classicに対して緊急パッチを出した。CVSS 10.0というのは最高スコアだから、対応を急ぐ必要がある。

2026年7月1日、Adobeは主力製品ColdFusionとCampaign Classicに存在する重大脆弱性への緊急パッチ(APSB26-68)を公開しました。
今回発見された脆弱性はCVSS 10.0という最高スコアが7件を占め、攻撃者が認証なしでサーバーを完全に制御できる危険性があります。
この記事では、脆弱性の概要・技術的な仕組み・今すぐ取るべき対策をわかりやすく解説します。

  • AdobeがColdFusion/Campaign ClassicにCVSS 10.0の重大脆弱性7件を含む緊急パッチを公開
  • 未認証・ユーザー操作不要でサーバーの完全制御が可能な脆弱性が複数存在する
  • Priority 1評価で近日中の悪用リスクが高く、72時間以内のパッチ適用が推奨されている

ColdFusionは日本の金融機関・官公庁・製造業でも採用実績があるサーバーサイドプラットフォームです。
パッチ未適用のままインターネットに公開された状態では、攻撃者に完全な制御権を奪われるリスクがあります。
まず現在のバージョンを確認しましょう。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

緊急パッチAPSB26-68で何が起きたのか

2026年6月30日、AdobeはColdFusionとCampaign Classicに対して緊急のセキュリティ速報を発行しました。

チップス

えっ、CVSS 10.0って最大値でしゅよね?そんなのが7件もあるんでしゅか!?

ボス

そうだ。しかもAdobe自身がPriority 1──近い将来に悪用されるリスクが高い──と評価している。72時間以内のパッチ適用を促す指示は珍しい対応だな。

今回の速報で公開された脆弱性の内訳は以下の通りです。

製品主なCVECVSS脆弱性タイプ
ColdFusion 2025/2023CVE-2026-48276, -48277, -48281, -48282, -48283, -4831610.0無制限ファイルアップロード・入力検証不備・パストラバーサル
ColdFusion 2025/2023CVE-2026-48313, -483159.3パストラバーサル・権限昇格
Campaign ClassicCVE-2026-4828610.0不適切な認可(任意コード実行)

影響を受けるバージョンと修正版

影響するバージョンと修正済みバージョンは以下の通りです。まず確認すべき情報を整理します。

  • ColdFusion 2025 Update 9以前(修正版: Update 10)
  • ColdFusion 2023 Update 20以前(修正版: Update 21)
  • Campaign Classic 7.4.3 ビルド9396以前(修正版: ビルド9397)

Campaign ClassicのオンプレミスユーザーはAdobeのサポートから修正ビルドを入手する必要があります。
Adobeがホスト・管理するクラウド版環境はすでに修正済みですが、自社サーバーで運用している場合は手動での対応が必要です。

脆弱性の仕組みと実際の攻撃リスク

CVSS 10.0を記録した脆弱性がいかに深刻か、その技術的な仕組みを理解することが対策の第一歩です。

3つの主要な攻撃ルート

今回の脆弱性は大きく3種類の攻撃ルートに分類できます。

  • 無制限ファイルアップロード系(CVE-2026-48276ほか)は、ファイルの拡張子・内容チェックが不十分なため、Webシェルなどの悪意ある実行ファイルをサーバーに直接置くことができる
  • 入力検証不備系(CVE-2026-48277ほか)は、ユーザーからの入力が検証されずに実行エンジンに渡るため、任意のコードが走る
  • パストラバーサル系(CVE-2026-48282ほか)は、「../」のようなパス操作を使って、本来アクセスできないディレクトリのファイルを読み取ったり上書きしたりできる
チップス

「認証なし」でこんなことができちゃうんでしゅか……ログインすら要らないんでしゅね。

ボス

そうだ。攻撃のハードルが極めて低い。インターネットに公開されたColdFusionサーバーをスキャンツールで見つけ出し、すぐに侵入するのが典型的な手口だ。

Priority 1評価が意味すること

AdobeはAPSB26-68に対して自社の最高緊急度評価「Priority 1」を付与しています。
これは「同様のターゲット環境で過去に脆弱性が悪用された実績があるため、近日中の悪用リスクが高い」という判断を意味します。
今すぐ取るべき対応を以下にまとめます。

  • ColdFusion管理者コンソールにログインし、現在のUpdate番号を確認する
  • Update 10(CF2025)またはUpdate 21(CF2023)へ72時間以内に更新する
  • インターネット公開サーバーは、パッチ適用まで一時的なアクセス制限を検討する

現時点で悪用事例は確認されていませんが、Priority 1が付与された脆弱性は公開から数日以内に悪用されるケースが多く、時間的な余裕はほとんどありません。

まとめ:パッチ適用は待ったなし

チップス

わかりましゅた!今すぐ管理者に連絡して、うちのColdFusionのバージョンを確認してもらうでしゅ!

ボス

ふふふ、その行動力は正しい。CVSS 10.0の脆弱性はシステムの鍵が開いたままの状態だ。パッチひとつで閉められるなら、迷わずすぐに閉めることだな。

AdobeのColdFusion/Campaign Classicに発見されたCVSS 10.0の重大脆弱性は、未認証のままサーバーを完全制御される深刻なリスクを持ちます。
Priority 1評価が示すとおり悪用は時間の問題であり、ColdFusion 2025はUpdate 10、2023はUpdate 21への即時更新が必要です。
自社の資産台帳でColdFusion稼働サーバーを確認し、インターネット公開のものから優先して対応することが今できる最重要のセキュリティアクションです。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次