プラットフォーム
coldfusion
コンポーネント
coldfusion
修正版
2025.6.1
ColdFusionのバージョン2023.18以前、および2025.6を含むバージョンにおいて、パス制限の不備(Path Traversal)による脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は意図された制限外のファイルやディレクトリにアクセスし、セキュリティ機能を回避する可能性があります。影響を受けるバージョンは0.0.0から2025.6までです。Adobeはバージョン2025.6でこの脆弱性を修正しました。
このPath Traversal脆弱性は、攻撃者がColdFusionサーバー上の機密情報を含むファイルや設定ファイルに不正にアクセスすることを可能にします。例えば、データベースの接続情報、APIキー、ソースコードなどが漏洩する可能性があります。攻撃者は、このアクセス権を悪用して、サーバー上の他のシステムへの攻撃の足がかりにしたり、機密情報を窃取したりする可能性があります。この脆弱性の悪用は、ユーザーの操作を必要とせず、リモートから実行可能です。類似のPath Traversal脆弱性は、他のWebアプリケーションフレームワークでも確認されており、深刻なセキュリティリスクをもたらす可能性があります。
この脆弱性は2026年4月14日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威動向を把握することが重要です。
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、ColdFusionをバージョン2025.6以降にアップデートすることです。アップデートが困難な場合は、アクセス制御リスト(ACL)を設定し、ColdFusionのファイルシステムへのアクセスを制限することで、攻撃の影響範囲を限定できます。また、Webアプリケーションファイアウォール(WAF)を導入し、Path Traversal攻撃のパターンを検知・防御することも有効です。WAFのルール設定や、ColdFusionの設定変更により、一時的な緩和策を講じることが可能です。アップデート後、ファイルシステムのアクセス権を確認し、不正なアクセスがないことを確認してください。
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34619は、ColdFusionのバージョン0.0.0~2025.6において、パス制限の不備により、攻撃者が制限外のファイルにアクセスできる脆弱性です。
ColdFusionのバージョンが0.0.0から2025.6までの場合は、この脆弱性の影響を受けます。
ColdFusionをバージョン2025.6以降にアップデートすることで、この脆弱性を修正できます。
現時点では、積極的に悪用されているという報告はありませんが、Path Traversal脆弱性は悪用される可能性が高いため、注意が必要です。
Adobe Security Bulletinを検索してください。具体的なURLは、Adobeのセキュリティ情報ページで確認できます。
CVSS ベクトル