ColdFusionに無認証で乗っ取りの脆弱性 CVE-2026-48276、最悪10点が5件
企業や官公庁のWebシステムを支えるAdobe ColdFusionに、外部から認証なしでサーバーを乗っ取れる脆弱性が一挙9件公開されました。うち5件は深刻度が最高の10点満点で、いずれもログイン不要・操作不要(CVE-2026-48276ほか)。Adobeは修正版(APSB26-68)を公開済みで、直ちの更新が必要です。
目次
企業や官公庁のWebシステムを支えるAdobe ColdFusionに、外部から認証なしでサーバーを乗っ取れる脆弱性が一挙9件公開されました。うち5件は深刻度が最高の10点満点で、いずれもログイン不要・操作不要(CVE-2026-48276ほか)。Adobeは修正版(APSB26-68)を公開済みで、直ちの更新が必要です。
企業や官公庁のWebシステムを動かす土台として広く使われている Adobe ColdFusion(コールドフュージョン) に、外部からログインなしでサーバーを乗っ取れる脆弱性が一挙に見つかりました。米国の脆弱性データベース(NVD)には2026年6月30日付で9件のColdFusion脆弱性が登録され、そのうち5件は危険度が10点満点中ちょうど 10.0という、これ以上ない最高評価です。いずれもログイン不要・利用者の操作も不要で、攻撃者がねらったサーバー上で好きな命令を実行できてしまいます。代表的な番号は CVE-2026-48276 で、Adobeのセキュリティ情報 APSB26-68 として公開されています。
ColdFusion は、過去にも実際の攻撃へ繰り返し悪用され、米政府機関CISAの「実際に攻撃された脆弱性リスト(KEV)」に何度も載ってきた製品です。今回のように「ログインせずに乗っ取れる」たぐいの欠陥は、公開された直後から世界中で自動的に狙われやすく、対応の速さがそのまま被害の有無を分けます。Adobe ColdFusion を自社サーバーやクラウド上で動かしている組織にとっては、いま最優先で手を打つべき話です。
| 項目 | 内容 |
|---|---|
| 対象ソフト | Adobe ColdFusion 2025 Update 9(2025.9)以前/2023系の該当版(2023.20)以前 |
| 脆弱性の数 | ColdFusionで9件 (うちCVSS 10.0が5件) |
| 最悪の場合 | 無認証でのサーバー乗っ取り (任意の命令を実行) |
| 攻撃の前提 | ColdFusionが外部から接続できること (ログイン不要・操作不要のものを含む) |
| いま使える対策 | Adobeの最新アップデート(APSB26-68)を 直ちに適用する |
※「CVSS」は脆弱性の深刻度を10点満点で表す国際的な指標で、10.0はその最高値です。本記事のCVSSは公開時点のCVSS v3.1の基本値です。
この脆弱性は誰に、どんな被害をもたらすのか
この穴を真っ先に狙うのは、インターネット上に公開されたColdFusionのサーバーを機械的に探し回る攻撃者です。ColdFusion はWebサイトや業務システムを動かすために使われるため、その入り口は外部に向けて開かれていることが珍しくありません。攻撃者は世界中のサーバーを片端からスキャンし、ColdFusion が動いている公開サーバーを見つけ次第ターゲットにします。今回の深刻なものはログインを必要としないため、たどり着けたサーバーはそのまま標的になります。
攻撃者がやることは、細工したファイルを送り込んだり、不正な入力を送りつけたりして、認証を通さずにサーバー上で自分の命令を実行することです。ColdFusion のいくつかの機能は、送られてきたファイルや文字列の中身を十分に確認しないまま処理してしまうため、本来は許されないはずの操作が通ってしまいます。代表的な手口は、攻撃用のプログラムをファイルとしてアップロードし、それをサーバーに実行させる、というものです。一度命令が通れば、追加のプログラムを次々に送り込めます。
命令を自由に実行できれば、そのサーバーは乗っ取られたのと同じです。Webサイトの改ざん、データベースに保管された顧客情報や個人情報の抜き取り、社内の別のシステムへの侵入の足がかり、身代金要求型ウイルス(ランサムウェア)の埋め込みまで、被害は一気に広がります。直接の標的はColdFusion を運用する企業・官公庁ですが、最終的に困るのは、その先にいるサービスを利用している一般の人々です。自分の個人情報を預けた先のサーバーが狙われる、という意味で、運用者だけの問題では終わりません。
ColdFusionとは何か、なぜ多くの組織に関係するのか
Adobe ColdFusion は、Webサイトや業務アプリを作って動かすための土台となるソフト(アプリケーションサーバー)です。1995年に登場した歴史の長い製品で、いまもAdobeが「2025」「2023」といった世代で開発を続けています。問い合わせフォーム、会員サイト、社内の業務システムなど、データベースと連動した動的なWebページをColdFusion 独自の言語で手早く作れるのが特徴で、官公庁・金融・教育・製造など、堅い分野のシステムに今も数多く使われています。
「最近あまり名前を聞かない」と感じる人もいるかもしれません。しかし、長く使われてきたぶん、表からは見えない裏方のシステムとして根強く残っているのがColdFusion です。そして、こうした「動いていて当たり前」になっている古参のサーバーほど、更新が後回しにされがちで、攻撃者にとっては狙い目になります。ColdFusion が攻撃に悪用された事例は過去に何度も報告されており、米政府機関のCISAは実際に悪用された脆弱性として注意を呼びかけてきました。「自社にColdFusion があるか把握していない」という状況こそが、いちばん危ないと言えます。
見つかった脆弱性 ― どれが、どう危ないのか
今回ColdFusion で公開されたのは9件です。危険度の高い順に整理すると、特に注意すべきは「ログインも利用者の操作も不要で、いきなりサーバーを乗っ取れる」5件(いずれもCVSS 10.0)です。まず全体を一覧で示し、種類ごとに何が起きるのかを補足します。
| 脆弱性番号 | 欠陥の種類 | 深刻度 | 起きること |
|---|---|---|---|
| CVE-2026-48276 | 危険なファイルの アップロード | 10.0 | 無認証・操作不要で サーバー乗っ取り |
| CVE-2026-48283 | 危険なファイルの アップロード | 10.0 | 無認証・操作不要で サーバー乗っ取り |
| CVE-2026-48277 | 不正な入力の 処理 | 10.0 | 無認証・操作不要で サーバー乗っ取り |
| CVE-2026-48281 | 不正な入力の 処理 | 10.0 | 無認証・操作不要で サーバー乗っ取り |
| CVE-2026-48282 | 経路をたどる (パストラバーサル) | 10.0 | 無認証・操作不要で サーバー乗っ取り |
| CVE-2026-48313 | 経路をたどる (パストラバーサル) | 9.3 | 無認証でファイルの 盗み見+限定的な書込 |
| CVE-2026-48315 | 不正な入力の 処理 | 9.3 | リンクを踏ませて 利用者の権限で命令実行 |
| CVE-2026-48307 | クロスサイト スクリプティング | 8.8 | リンクを踏ませて 利用者の権限で命令実行 |
| CVE-2026-48285 | サーバーを踏み台に する(SSRF) | 8.6 | 無認証で内部情報の 不正な読み取り |
ファイルを送り込んで乗っ取る欠陥:CVE-2026-48276/CVE-2026-48283
この2件は「危険なファイルのアップロード」(CWE-434)と呼ばれる種類です。本来アップロードしてはいけない種類のファイル(中に命令が書かれた実行可能なファイル)を送り込めてしまい、それをサーバーが実行することで乗っ取りに至ります。ログインも特別な操作も要らず、最も古典的かつ確実な乗っ取り手口で、深刻度はどちらも最高の10.0です。
不正な入力で命令を実行される欠陥:CVE-2026-48277/CVE-2026-48281
この2件は「不適切な入力検証」(CWE-20)です。送られてきたデータが安全かどうかの確認が甘く、攻撃者が紛れ込ませた命令をサーバーがそのまま実行してしまいます。これも無認証・操作不要で、深刻度はともに10.0です。
本来見えない場所をたどる欠陥:CVE-2026-48282/CVE-2026-48313
この2件は「パストラバーサル」(CWE-22)と呼ばれ、ファイルの保存場所をたどる指定(「ひとつ上の階層へ」のような指定)を悪用し、本来アクセスできないはずの場所に手を伸ばす手口です。CVE-2026-48282 は最終的に命令の実行まで至り深刻度10.0、CVE-2026-48313 はサーバー内のファイルの盗み見と限定的な書き込みが可能で9.3です。設定ファイルや認証情報が読み取られれば、それ自体が次の侵入の鍵になります。
リンクを踏ませて悪用する欠陥:CVE-2026-48307/CVE-2026-48315
この2件は、攻撃者が用意した不正なリンクを管理者などに踏ませることで成立します。CVE-2026-48307 は「クロスサイトスクリプティング」(CWE-79)、CVE-2026-48315 は不正な入力の処理に起因し、いずれも被害者の権限でブラウザ上の操作やコード実行につながります。深刻度はそれぞれ8.8、9.3です。前述の5件と違い「踏ませる」というひと手間が要りますが、管理画面を扱う担当者が狙われると影響は大きくなります。残るCVE-2026-48285 は、サーバーを踏み台にして内部のリソースへアクセスさせる「サーバーサイドリクエストフォージェリ」(SSRF、CWE-918)で、深刻度8.6です。
なお同じ2026年6月30日には、Adobeの別製品であるAdobe Campaign Classic(メール配信などに使うマーケティング向けソフト)にも、無認証で命令を実行できる深刻度10.0の脆弱性 CVE-2026-48286(不正な認可、CWE-863)が公開されています。ColdFusion とは別の製品ですが、Adobe Campaign Classic(7.4.3 build 9396以前)を使っている組織は、こちらもあわせて更新の対象になります。
自分のサーバーは危ないのか、状況別の早見表
危険度は「ColdFusion を外部から接続できる状態にしているか」と「バージョンが対象に含まれるか」で大きく変わります。自社の状況に当てはめて確認してください。
| あなたの状況 | 危険度 | いますべきこと |
|---|---|---|
| 対象版を使い、 インターネットに公開している | 最も危険 (無認証で乗っ取られ得る) | 直ちに更新。即時が無理なら 一時的に外部公開を止める |
| 対象版だが社内ネット内 だけで使っている | 高 (内部の侵入者・踏み台で悪用可) | 早急に更新。接続元の 制限も併用する |
| ColdFusionを使っているか 把握していない | 不明=要確認 (裏方で残っていることが多い) | まず棚卸し。稼働状況と バージョンを確認する |
| すでに最新アップデートを 適用済み | 低 (今回の9件は修正済み) | 痕跡の確認と、今後の 更新運用の継続 |
※対象は ColdFusion 2025 Update 9(2025.9)以前、および2023系の該当版(2023.20)以前です。自分のバージョンは管理画面のシステム情報で確認できます。古い世代(2021など)を使っている場合は、サポート状況もあわせて確認してください。
いま何をすべきか
最優先は、Adobeが公開した最新のアップデートを直ちに適用することです。今回の9件はこのアップデートで修正されています。Adobeのセキュリティ情報 APSB26-68 と、ColdFusion 2025・ColdFusion 2023 のアップデート一覧を確認し、使っている世代の最新版へ上げてください。無認証で乗っ取れる脆弱性は公開直後から狙われやすいため、「次の定期メンテナンスで」ではなく、いますぐ動くべき案件です。
すぐに更新できない事情がある場合は、当面の応急策としてColdFusion をインターネットから直接触れない状態にすることを検討してください。外部に公開する必要がなければ社内ネットワークに閉じる、必要な場合も接続元を絞る、手前にWebアプリケーション用の防御(WAF)を置く、といった対応で攻撃の入り口を狭められます。Adobeが以前から推奨している、不要な機能を無効化する「ロックダウン」設定の見直しも有効です。
あわせて、すでに侵入されていないかの確認も行ってください。ColdFusion を狙う攻撃では、外部から実行できる不審なファイル(俗に言うWebシェル)をサーバーに置かれるのが典型です。公開ディレクトリに身に覚えのないファイルが増えていないか、不審な通信やログがないかを点検します。ColdFusion の脆弱性はこれまでも実際の攻撃に使われ、CISAの実際に攻撃された脆弱性リスト(KEV)に何度も登録されてきました。今回もいずれ悪用が広がる前提で備えるのが安全です。
よくある質問
うちはColdFusionを使っていないと思うのですが、関係ありますか?
直接は関係ありません。ただしColdFusionは表に出ない裏方のシステムとして残っていることが多く、「自社にあると思っていなかった」というケースが実際にあります。社内で動いているWebシステムやサーバーの棚卸しを行い、ColdFusionが使われていないかを一度確認しておくと安心です。利用しているサービスの提供元がColdFusionを使っている可能性もあります。
どのバージョンが危ないのですか?
NVDの登録によると、対象はColdFusion 2025 Update 9(2025.9)以前、および2023系の該当版(2023.20)以前です。自分のバージョンは管理画面のシステム情報から確認できます。Adobeのセキュリティ情報APSB26-68で修正版が案内されているので、使っている世代の最新アップデートへ上げてください。古い世代を使っている場合は、サポートが続いているかもあわせて確認が必要です。
すでに攻撃に悪用されていますか?
本記事の時点で、今回の9件が実際の攻撃に使われたという公的な報告(CISAのKEVへの登録など)は確認していません。ただしColdFusionは過去に何度も悪用されてきた製品で、無認証で乗っ取れる脆弱性は公開直後から狙われやすい傾向があります。悪用が広がる前に更新を済ませるのが安全です。状況は変わりうるため、公式情報を随時確認してください。
Adobe Campaign Classicの脆弱性とは別物ですか?
別の製品の脆弱性です。今回は同じ2026年6月30日に、ColdFusionとは別のAdobe Campaign Classic(メール配信などに使うソフト)でも、無認証で命令を実行できる深刻度10.0の脆弱性(CVE-2026-48286)が公開されました。Adobe Campaign Classicを使っている場合は、そちらも別途、最新版への更新が必要です。
まとめ
Adobe ColdFusion に、外部からログインなしでサーバーを乗っ取れる脆弱性を含む9件が公開されました。うち5件は深刻度が最高の10.0で、いずれも利用者の操作すら必要としません。細工したファイルや不正な入力を送りつけるだけで、サーバー上で任意の命令を実行され、Webサイトの改ざんや個人情報の流出、別システムへの侵入の足がかりにされる恐れがあります。
対策ははっきりしています。Adobeが公開した最新アップデート(APSB26-68)を直ちに適用すること。すぐに無理なら、当面はColdFusion を外部から触れない状態にして時間を稼ぎ、すでに侵入されていないかも点検してください。ColdFusion は過去に繰り返し狙われてきた製品です。「動いているから大丈夫」ではなく、いま手を動かすことが被害を防ぎます。
更新履歴
- ▸2026年7月1日:初版公開(2026年6月30日付のNVD登録9件、AdobeセキュリティAPSB26-68を受けて作成)。
参照元
- ・Adobe — Security update available for Adobe ColdFusion(APSB26-68)
- ・NVD — CVE-2026-48276(CVSS 10.0・危険なファイルのアップロード)
- ・NVD — CVE-2026-48277(CVSS 10.0)
- ・NVD — CVE-2026-48281(CVSS 10.0)
- ・NVD — CVE-2026-48282(CVSS 10.0・パストラバーサル)
- ・NVD — CVE-2026-48283(CVSS 10.0・危険なファイルのアップロード)
- ・NVD — CVE-2026-48313(CVSS 9.3・パストラバーサル)
- ・NVD — CVE-2026-48315(CVSS 9.3)
- ・NVD — CVE-2026-48307(CVSS 8.8・クロスサイトスクリプティング)
- ・NVD — CVE-2026-48285(CVSS 8.6・SSRF)
- ・NVD — CVE-2026-48286(Adobe Campaign Classic・CVSS 10.0)
- ・Adobe — ColdFusion(2025 release)updates
- ・CISA KEV ダッシュボード(日本語版)
堀川 慎
Backend Engineer / AWS / Django / Go