技術約8分で読めます

Adobe ColdFusion CVE-2026-48282はKEV追加から期限まで3日しかなかったRCE

いけさん目次

TL;DR

影響 Adobe ColdFusion 2025 Update 9以前と2023 Update 20以前。CVE-2026-48282はパストラバーサル(意図したディレクトリ外のファイルへ到達する不備)からRCE(リモートコード実行)に至るCVSS 10.0で、悪用はRDS有効かつRDS認証無効の構成が前提

対応 ColdFusion 2025 Update 10、ColdFusion 2023 Update 21への更新。CISA KEV(悪用確認済み脆弱性カタログ)追加日は2026年7月7日、期限は2026年7月10日で既に経過

確認 RDS FILEIO系エンドポイントへの到達、../ やURLエンコード済みトラバーサル、ColdFusionプロセスによる不審なCFM/JSP作成、設定ファイル読み取り後の外向き通信


Adobe ColdFusionのCVE-2026-48282が、2026年7月7日にCISA KEVへ入った。
AdobeのAPSB26-68は6月30日に公開済みで、7月上旬の更新で「限定的な攻撃で悪用されている」と明記されていた。
KEV入り後の期限は7月10日で、米連邦政府機関向けには追加から3日しかなかった。
この記事を書いている7月11日時点で、その期限はもう過ぎている。

対象はColdFusion 2025 Update 9以前とColdFusion 2023 Update 20以前。
修正版はそれぞれUpdate 10とUpdate 21。
2025と2023は連番の新旧ではなく、並行してサポートされる別系列で、パッチもそれぞれ出ている。

製品系列脆弱バージョン修正バージョン
ColdFusion 2025Update 9以前(2025.9以前)Update 10
ColdFusion 2023Update 20以前(2023.20以前)Update 21

NVDでは、CVE-2026-48282単体がCWE-22のパストラバーサル、CVSS(Common Vulnerability Scoring System。脆弱性の深刻度を数値化する方式)3.1で10.0 CRITICALになっている。

スコアの高さは6月30日の公開時点から変わっていない。7月7日のKEV追加で、実際の悪用確認がそこに加わった。
NIST NVDの優先トリアージ制の記事でも書いた通り、CISA KEVは「理論上危ない脆弱性」ではなく、実際に悪用が確認された脆弱性を優先リストへ上げる仕組みだ。

RDS FILEIOがファイル境界を抜ける

Akamaiとwatchtowrの解析によると、攻撃者はColdFusionのRDS FILEIOハンドラ(/CFIDE/main/ide.cfm?ACTION=FILEIO)に細工したHTTPリクエストを送る。
RDSはRemote Development Servicesの略で、DreamweaverなどのIDEからリモートのColdFusionサーバー上のファイルを直接読み書きするための開発支援機能だ。FILEIOはそのファイル入出力を処理する。
ここでファイルパスの正規化とディレクトリ境界の確認が崩れると、攻撃者は../ のようなトラバーサル列を使って、本来の作業ディレクトリ外のファイルを読み書きできる。

ただし、この経路が成立するには前提条件がある。
watchtowrの解析では、RDSが有効(本番想定のインストールではデフォルト無効)で、かつRDS用の認証が無効化されている構成が条件として挙げられている。
CVSS 10.0だが、初期構成のままでは悪用の前提が揃わない。実際に悪用できるのは、開発用のRDSを本番に残し、認証まで外しているサーバーに限られる。

読み取りだけなら設定ファイルやアプリケーションコードの漏えいで止まる。
ただし今回のCVEについて、AdobeとNVDは任意コード実行まで到達しうると説明している。
Akamaiは、RDS FILEIO経由でファイルの読み書きができる場合、Webから到達できる場所にCFMファイルを書き込むことでサーバー上のコード実行へ進む流れを示している。

flowchart TD
    A["前提: RDSが有効(デフォルト無効)<br/>かつRDS認証が無効"] --> B["細工したHTTPリクエスト<br/>/CFIDE/main/ide.cfm?ACTION=FILEIO"]
    B --> C["パス正規化の不備<br/>../ でディレクトリ境界を突破"]
    C --> D1["Web公開領域へCFMを書き込み"]
    C --> D2["設定ファイルを読み取り<br/>neo-datasource.xml 等"]
    D1 --> E["書き込んだCFM経由でRCE"]
    D2 --> F["DB認証情報・APIキーを窃取"]

watchtowrが技術解析を公開した直後には、ハニーポットで悪用を試みる通信が観測されていて、解析の公開から実際の悪用までが早かった。

ColdFusionサーバーは、古い社内業務アプリや連携基盤に残っていることがある。
外部公開の管理画面だけでなく、VPN内、取引先連携用の中間サーバー、古いフォーム処理基盤に残ったColdFusionも確認対象に入れる。
KEVの期限が短いのは、そこを攻撃者側もすでに探し始めているとCISAが判断しているためだ。

Update適用後も侵害の痕跡は残る

APSB26-68は、ColdFusion 2025 Update 10とColdFusion 2023 Update 21への更新を案内している。
同じアドバイザリには、CVE-2026-48282以外にもCVSS 10.0の任意コード実行が複数含まれている。
今回KEV入りしたのはCVE-2026-48282だが、実際の更新作業ではAPSB26-68全体が適用対象になる。

更新後は、RDS FILEIOへのアクセスログ、トラバーサル列、ColdFusionプロセスが作った見覚えのないCFM/JSP、設定ファイルの読み取り、外向き通信の有無を確認する。
データソース設定、APIキー、管理者認証情報が読まれた疑いがあるなら、アプリケーションDB、連携先API、管理者アカウントの認証情報も入れ替える。

Joomla JCEのKEV記事では、更新後も不正プロファイルとPHPファイルが残る話を扱った。
ColdFusionでも同じで、入口を閉じても、置かれたCFM/JSPの削除と盗まれた認証情報の無効化が別の作業として残る。
「更新チケット」と「侵害確認チケット」を分けると、後者が後回しになりやすい。

JoomlaとLangflowも同じ日にKEVへ追加された

DEV Communityの元記事は、ColdFusion単体だけでなく、同じタイミングでKEVに追加されたJoomla系2件とLangflow 1件も扱っている。
The Hacker Newsの整理では、追加された4件はCVE-2026-48282、Joomlack Page BuilderのCVE-2026-56290、LangflowのCVE-2026-55255、JoomShaper SP Page BuilderのCVE-2026-48908だ。

CVEベンダー/製品脆弱性タイプ悪用の起点
CVE-2026-48282Adobe ColdFusionパストラバーサル(CWE-22)→RCERDS有効かつRDS認証無効の構成
CVE-2026-56290Joomlack Page Builder不適切なアクセス制御(CWE-284)→RCE未認証のファイルアップロード
CVE-2026-55255Langflow認可バイパス(CWE-639, IDOR)認証済みユーザーが他人のフローIDを指定
CVE-2026-48908JoomShaper SP Page Builder危険な種別のファイルアップロード(CWE-434)未認証のPHPファイルアップロード

4件とも追加日は2026年7月7日、期限は2026年7月10日で共通だ。

元記事はこの4件を「Supply Chain Exploitation」の括りで扱っているが、中身は別物だ。
ColdFusionは業務アプリ基盤のRCE、Joomla系はCMS拡張のファイルアップロードやPHP実行、LangflowはAIワークフロー上の認可境界の問題で、確認するサーバー、ログ、残されたファイルもそれぞれ別になる。

Langflowについては、クロステナントIDOR(他ユーザーのリソースIDを指定できてしまう認可不備)とRCEを組み合わせる攻撃が別途報じられている。
今回KEV入りしたCVE-2026-55255はこのうちIDOR側で、RCEは先にKEV追加済みの別のCVE-2026-33017にあたる。実際の攻撃はこの2件を繋いで成立する。
LLMプロバイダキーやAWSキーの窃取まで書かれているため、AIオーケストレーション基盤を外へ出している環境では、ColdFusionとは別のサーバー群として確認する。
このあたりは、LiteLLMのCISA KEV入りRCEと近い。
どちらも、ゲートウェイやワークフロー基盤が保持している外部サービスのキーが被害範囲に入る。

今回の確認順

最初に、ColdFusion 2025 Update 9以前、またはColdFusion 2023 Update 20以前が残っていないかをサーバー一覧と実機で照合する。
WAF(Web Application Firewall。HTTPリクエストを検査して攻撃パターンを遮断する防御層)や前段プロキシで止めている環境でも、AdobeのUpdate 10/21は適用する。
Akamaiも、WAFルールは既知パターンの遮断には使えるが、最終的な防御はベンダーパッチだと書いている。

次に、RDS関連機能が外部または信頼済みネットワークから到達できる構成になっていないかを確認する。
インターネット非公開でも、VPN、踏み台、CI/CDネットワーク、取引先連携サーバーから到達できるなら、攻撃経路として扱う。
ログでは、../..%2f..%5cWEB-INFcfusionlibneo-datasource.xml のような文字列を手がかりにする。

不審なファイルが見つかった場合は、削除前にコピーとタイムスタンプを残す。
Webルート、ColdFusionのアプリケーションディレクトリ、一時ディレクトリ、デプロイ先に、最近作られたCFM/JSPがないかを確認する。
ColdFusionプロセスから cmd.exepowershell.exeshcurlwget のような子プロセスが起動していないかも確認する。

最後に、ColdFusionが読める認証情報を入れ替える。
データベース接続、LDAP、SMTP、S3互換ストレージ、社内API、バッチ連携のトークンが対象になる。

参考