「Adobe ColdFusionを使っているサーバーが狙われているって本当?」
「CVSSが10.0って聞いたけど、すぐパッチを当てないといけないの?」
ボスっ!ColdFusionに超ヤバい脆弱性が出たってSNSで流れてるんでしゅけど、これって本当に危ないんでしゅか?
ああ、本当だ。AdobeがColdFusionとCampaign Classicに対して緊急パッチを出した。CVSS 10.0というのは最高スコアだから、対応を急ぐ必要がある。
2026年7月1日、Adobeは主力製品ColdFusionとCampaign Classicに存在する重大脆弱性への緊急パッチ(APSB26-68)を公開しました。
今回発見された脆弱性はCVSS 10.0という最高スコアが7件を占め、攻撃者が認証なしでサーバーを完全に制御できる危険性があります。
この記事では、脆弱性の概要・技術的な仕組み・今すぐ取るべき対策をわかりやすく解説します。
- AdobeがColdFusion/Campaign ClassicにCVSS 10.0の重大脆弱性7件を含む緊急パッチを公開
- 未認証・ユーザー操作不要でサーバーの完全制御が可能な脆弱性が複数存在する
- Priority 1評価で近日中の悪用リスクが高く、72時間以内のパッチ適用が推奨されている
ColdFusionは日本の金融機関・官公庁・製造業でも採用実績があるサーバーサイドプラットフォームです。
パッチ未適用のままインターネットに公開された状態では、攻撃者に完全な制御権を奪われるリスクがあります。
まず現在のバージョンを確認しましょう。
目次
緊急パッチAPSB26-68で何が起きたのか
2026年6月30日、AdobeはColdFusionとCampaign Classicに対して緊急のセキュリティ速報を発行しました。
えっ、CVSS 10.0って最大値でしゅよね?そんなのが7件もあるんでしゅか!?
そうだ。しかもAdobe自身がPriority 1──近い将来に悪用されるリスクが高い──と評価している。72時間以内のパッチ適用を促す指示は珍しい対応だな。
今回の速報で公開された脆弱性の内訳は以下の通りです。
| 製品 | 主なCVE | CVSS | 脆弱性タイプ |
|---|
| ColdFusion 2025/2023 | CVE-2026-48276, -48277, -48281, -48282, -48283, -48316 | 10.0 | 無制限ファイルアップロード・入力検証不備・パストラバーサル |
| ColdFusion 2025/2023 | CVE-2026-48313, -48315 | 9.3 | パストラバーサル・権限昇格 |
| Campaign Classic | CVE-2026-48286 | 10.0 | 不適切な認可(任意コード実行) |
影響を受けるバージョンと修正版
影響するバージョンと修正済みバージョンは以下の通りです。まず確認すべき情報を整理します。
- ColdFusion 2025 Update 9以前(修正版: Update 10)
- ColdFusion 2023 Update 20以前(修正版: Update 21)
- Campaign Classic 7.4.3 ビルド9396以前(修正版: ビルド9397)
Campaign ClassicのオンプレミスユーザーはAdobeのサポートから修正ビルドを入手する必要があります。
Adobeがホスト・管理するクラウド版環境はすでに修正済みですが、自社サーバーで運用している場合は手動での対応が必要です。
脆弱性の仕組みと実際の攻撃リスク
CVSS 10.0を記録した脆弱性がいかに深刻か、その技術的な仕組みを理解することが対策の第一歩です。
3つの主要な攻撃ルート
今回の脆弱性は大きく3種類の攻撃ルートに分類できます。
- 無制限ファイルアップロード系(CVE-2026-48276ほか)は、ファイルの拡張子・内容チェックが不十分なため、Webシェルなどの悪意ある実行ファイルをサーバーに直接置くことができる
- 入力検証不備系(CVE-2026-48277ほか)は、ユーザーからの入力が検証されずに実行エンジンに渡るため、任意のコードが走る
- パストラバーサル系(CVE-2026-48282ほか)は、「../」のようなパス操作を使って、本来アクセスできないディレクトリのファイルを読み取ったり上書きしたりできる
「認証なし」でこんなことができちゃうんでしゅか……ログインすら要らないんでしゅね。
そうだ。攻撃のハードルが極めて低い。インターネットに公開されたColdFusionサーバーをスキャンツールで見つけ出し、すぐに侵入するのが典型的な手口だ。
Priority 1評価が意味すること
AdobeはAPSB26-68に対して自社の最高緊急度評価「Priority 1」を付与しています。
これは「同様のターゲット環境で過去に脆弱性が悪用された実績があるため、近日中の悪用リスクが高い」という判断を意味します。
今すぐ取るべき対応を以下にまとめます。
- ColdFusion管理者コンソールにログインし、現在のUpdate番号を確認する
- Update 10(CF2025)またはUpdate 21(CF2023)へ72時間以内に更新する
- インターネット公開サーバーは、パッチ適用まで一時的なアクセス制限を検討する
現時点で悪用事例は確認されていませんが、Priority 1が付与された脆弱性は公開から数日以内に悪用されるケースが多く、時間的な余裕はほとんどありません。
まとめ:パッチ適用は待ったなし
わかりましゅた!今すぐ管理者に連絡して、うちのColdFusionのバージョンを確認してもらうでしゅ!
ふふふ、その行動力は正しい。CVSS 10.0の脆弱性はシステムの鍵が開いたままの状態だ。パッチひとつで閉められるなら、迷わずすぐに閉めることだな。
AdobeのColdFusion/Campaign Classicに発見されたCVSS 10.0の重大脆弱性は、未認証のままサーバーを完全制御される深刻なリスクを持ちます。
Priority 1評価が示すとおり悪用は時間の問題であり、ColdFusion 2025はUpdate 10、2023はUpdate 21への即時更新が必要です。
自社の資産台帳でColdFusion稼働サーバーを確認し、インターネット公開のものから優先して対応することが今できる最重要のセキュリティアクションです。