LOWCVE-2025-54234CVSS 2.7

ColdFusion | サーバーサイドリクエストフォージェリ (SSRF) (CWE-918)

プラットフォーム

java

コンポーネント

coldfusion

修正版

2021.19.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

ColdFusionのバージョン2025.1以前には、Server-Side Request Forgery (SSRF) の脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者がアプリケーションに任意のURLを注入し、ファイルシステムへの限定的な読み取りアクセスを可能にする可能性があります。影響を受けるバージョンは、ColdFusion 2025.1、2023.13、2021.19以前です。バージョン2025.1へのアップグレードでこの問題は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、認証された攻撃者がColdFusionアプリケーションを通じて任意のHTTPリクエストを送信することを可能にします。これにより、攻撃者は内部リソースへのアクセスを試みたり、ファイルシステムから機密情報を読み取ったりする可能性があります。攻撃者は、ColdFusionアプリケーションがアクセスできるファイルやサービスをスキャンし、潜在的な攻撃対象を特定する可能性があります。この脆弱性の影響範囲は限定的ですが、機密情報が漏洩するリスクがあります。

悪用の状況

この脆弱性は、CISAのKEVカタログに掲載されている可能性は低いですが、SSRFは一般的に悪用されやすい脆弱性です。公開されているPoCは確認されていませんが、攻撃者がこの脆弱性を悪用して内部リソースにアクセスする可能性はあります。この脆弱性は2025年8月18日に公開されました。

リスク対象者翻訳中…

Organizations running ColdFusion versions 0 through 2021.19, particularly those with internal applications or services that rely on ColdFusion, are at risk. Environments where ColdFusion is used for processing user-supplied data without proper input validation are especially vulnerable.

検出手順翻訳中…

• java / server:

ps aux | grep -i coldfusion

• java / server:

journalctl -u coldfusion -f | grep -i "Server-Side Request Forgery"

• generic web:

curl -I <coldfusion_url>

• generic web:

 grep -r "Server-Side Request Forgery" /opt/coldfusion/cfusion/wwwroot/includes/  # Adjust path as needed

攻撃タイムライン

2025-08-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcoldfusion

ベンダーAdobe

影響範囲修正版

0 – 2021.192021.19.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-07-17
公開日2025-08-18
更新日2025-10-01
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、ColdFusionをバージョン2025.1以降にアップグレードすることです。アップグレードが一時的に利用できない場合は、WAF（Web Application Firewall）を使用して、SSRF攻撃をブロックするルールを実装することを検討してください。また、ColdFusionアプリケーションのアクセス許可を最小限に抑え、不要なネットワークアクセスを制限することも有効です。攻撃者がSSRFを悪用して内部リソースにアクセスすることを防ぐために、ネットワークセグメンテーションを強化することも重要です。

修正方法

ColdFusionをバージョン 2025.1, 2023.13、または 2021.19 以降にアップデートしてください。 これにより、SSRFの脆弱性が修正されます。 詳細と具体的な手順については、Adobeのセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-54234 — SSRF in ColdFusionとは何ですか？

CVE-2025-54234は、ColdFusionのバージョン2025.1以前に存在するServer-Side Request Forgery (SSRF) の脆弱性です。認証された攻撃者がファイルシステムへの限定的な読み取りアクセスを可能にする可能性があります。

CVE-2025-54234 in ColdFusionで影響を受けますか？

ColdFusionのバージョン2025.1以前を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン2025.1以降にアップグレードすることで修正されます。

CVE-2025-54234 in ColdFusionを修正するにはどうすればよいですか？

ColdFusionをバージョン2025.1以降にアップグレードしてください。アップグレードができない場合は、WAFを使用してSSRF攻撃をブロックするルールを実装することを検討してください。

CVE-2025-54234は積極的に悪用されていますか？

現時点では、この脆弱性が積極的に悪用されているという報告はありませんが、SSRFは一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2025-54234のColdFusion公式アドバイザリはどこで入手できますか？

ColdFusionの公式アドバイザリは、Adobe Security Bulletinsのページで確認できます。https://www.adobe.com/security/bulletins/ にアクセスし、該当するアドバイザリを検索してください。