CERT Coordination Center (CERT/CC, Carnegie Mellon University)は2月1日(米国時間)、「VU#125331 - Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs」において、Adobe ColdFusionに脆弱性が存在すると伝えた。この脆弱性を悪用されると、権限のないWindowsユーザがSYSTEM権限で任意のコードを実行できる可能性があるとされており注意が必要。

  • VU#125331 - Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs

    VU#125331 - Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs

CERT/CCは、デフォルトではAdobe ColdFusionのデプロイが安全な状態での行われないと指摘しており、安全を確保するには、Adobe ColdFusionのインストール後にさらに「Server Auto-Lockdown」インストーラをインストールする必要があるとされている。

適用手順はプロダクトのバージョンごとに異なる。

今回報告された脆弱性は製品をアップデートすれば解決されるものではなく、手動で設定または別のアプリケーションをインストールする点があることに注意が必要。アドバイザリの内容をよく確認するとともに、該当するプロダクトを使用している場合には手順に従って対応を行うことが望まれる。