米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月11日(米国時間)、「Adobe Releases Security Updates for ColdFusion and InDesign|CISA」において、Adobe製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

  • Adobe Security Bulletin - Security updates available for Adobe ColdFusion|APSB23-40

    Adobe Security Bulletin - Security updates available for Adobe ColdFusion | APSB23-40

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • ColdFusion 2023 GA Release (2023.0.0.330468)
  • ColdFusion 2021 Update 6およびこれより前のバージョン
  • ColdFusion 2018 Update 16およびこれより前のバージョン
  • Adobe InDesign ID18.3およびこれより前のバージョン (Windows版、macOS版)
  • Adobe InDesign ID17.4.1およびこれより前のバージョン (Windows版、macOS版)

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • ColdFusion 2023 Update 1
  • ColdFusion 2021 Update 7
  • ColdFusion 2018 Update 17
  • Adobe InDesign ID18.4 (Windows版、macOS版)
  • Adobe InDesign ID17.4.2 (Windows版、macOS版)

セキュリティアドバイザリにおいてAdobeプロダクトに深刻度が緊急(Critical)の脆弱性が3、深刻度が重要(Important)の脆弱性が12報告されている。CISAは、必要に応じてアップデートを適用することを推奨している。