独立行政法人情報処理推進機構(IPA)は12月24日、Adobe ColdFusionの脆弱性(CVE-2024-53961)について発表した。影響を受けるシステムは以下の通り。
ColdFusion 2023 Update 11 およびそれ以前のバージョン
ColdFusion 2021 Update 17 およびそれ以前のバージョン
アドビ社が提供するアプリケーションサーバ Adobe ColdFusionには、パストラバーサルの脆弱性(CVE-2024-53961)が存在し、本脆弱性を悪用された場合、認証されていない遠隔の第三者に任意のシステムファイルを閲覧される可能性がある。
製品開発者は、本脆弱性を悪用するPoC(概念実証コード)を確認しており、今後被害が拡大するおそれがあるため、IPAでは製品開発者が公表している手順に従い、バージョンアップするよう呼びかけている。製品開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
ColdFusion 2023 Update 12
ColdFusion 2021 Update 18
