CERT Coordination Center (CERT/CC, Carnegie Mellon University)は2月1日(米国時間)、「VU#125331 - Adobe ColdFusion is vulnerable to privilege escalation due to weak ACLs」において、Adobe ColdFusionに脆弱性が存在すると伝えた。この脆弱性を悪用されると、権限のないWindowsユーザがSYSTEM権限で任意のコードを実行できる可能性があるとされており注意が必要。
CERT/CCは、デフォルトではAdobe ColdFusionのデプロイが安全な状態での行われないと指摘しており、安全を確保するには、Adobe ColdFusionのインストール後にさらに「Server Auto-Lockdown」インストーラをインストールする必要があるとされている。
適用手順はプロダクトのバージョンごとに異なる。
- ColdFusion 2016 - 「ColdFusion (2016 release) Lockdown Guide」に記載されている手順に従って変更を実施する。
- ColdFusion 2018 - 「COLDFUSION (2018 RELEASE) SERVER AUTO-LOCKDOWN」を実行しエラーなく完了することを確認する。
- ColdFusion 2021 - 「COLDFUSION (2021 RELEASE) SERVER AUTO-LOCKDOWN」を実行しエラーなく完了することを確認する。
今回報告された脆弱性は製品をアップデートすれば解決されるものではなく、手動で設定または別のアプリケーションをインストールする点があることに注意が必要。アドバイザリの内容をよく確認するとともに、該当するプロダクトを使用している場合には手順に従って対応を行うことが望まれる。