HIGHCVE-2026-27305CVSS 8.6

ColdFusion | 制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal') (CWE-22)

プラットフォーム

coldfusion

コンポーネント

coldfusion

修正版

2025.6.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27305は、Adobe ColdFusionにおけるPath Traversal脆弱性です。この脆弱性は、攻撃者が意図しないファイルシステム領域へのアクセスを可能にし、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは、ColdFusion 0.0.0から2025.6までのものです。Adobeは、2025.6へのアップデートを推奨しています。

影響と攻撃シナリオ

このPath Traversal脆弱性を悪用すると、攻撃者はColdFusionサーバー上の機密ファイルやディレクトリに不正にアクセスできます。例えば、設定ファイル、ソースコード、データベース接続情報などが盗み出される可能性があります。攻撃者は、この情報を使用して、さらなる攻撃を仕掛けたり、システムを完全に制御したりする可能性があります。この脆弱性は、ユーザーの操作を必要としないため、リモートからの攻撃が容易に行える点が懸念されます。類似の脆弱性は、Webアプリケーションフレームワークにおけるファイルアクセス制御の不備から発生することがあります。

悪用の状況

このCVEは2026年4月14日に公開されました。現時点では、KEVリストには登録されていません。公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。NVDおよびCISAの情報を継続的に監視し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. This includes businesses relying on ColdFusion for web applications, e-commerce platforms, and internal systems. Legacy ColdFusion deployments and those with weak file system permissions are especially vulnerable.

検出手順翻訳中…

• coldfusion:

Get-ChildItem -Path "C:\ColdFusion\wwwroot\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\.\.\'}

• generic web:

curl -I http://your-coldfusion-server/../../../../etc/passwd

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.18% (39% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントcoldfusion

ベンダーAdobe

影響範囲修正版

0 – 2025.62025.6.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-18
公開日2026-04-14
更新日2026-04-16
EPSS 更新日2026-04-22

緩和策と回避策

この脆弱性への最も効果的な対策は、ColdFusionをバージョン2025.6以降にアップデートすることです。アップデートがすぐに適用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、不正なファイルアクセス試行をブロックすることを検討してください。また、ColdFusionのファイルアクセス権限を厳格に制限し、不要なファイルへのアクセスを禁止することも有効です。アクセスログを監視し、異常なファイルアクセスパターンを検出することも重要です。

修正方法翻訳中…

Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory (APS) para obtener instrucciones detalladas sobre cómo aplicar la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27305 — Path Traversal in ColdFusionとは何ですか？

CVE-2026-27305は、Adobe ColdFusionのバージョン0.0.0～2025.6に存在するPath Traversal脆弱性です。攻撃者はこの脆弱性を悪用して、ファイルシステム上の機密ファイルに不正にアクセスする可能性があります。

CVE-2026-27305 in ColdFusionで影響を受けますか？

ColdFusionのバージョンが0.0.0から2025.6までの場合は、この脆弱性の影響を受けます。バージョン2025.6以降にアップデートすることで、脆弱性を解消できます。

CVE-2026-27305 in ColdFusionを修正するにはどうすればよいですか？

ColdFusionをバージョン2025.6以降にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに適用できない場合は、WAFなどの対策を講じることを検討してください。

CVE-2026-27305は積極的に悪用されていますか？

現時点では、CVE-2026-27305の悪用事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-27305に関するAdobeの公式アドバイザリはどこで入手できますか？

Adobeの公式アドバイザリは、Adobe Security Bulletinsのページで確認できます。具体的なURLは、Adobeのセキュリティ情報を参照してください。