「Adobe ColdFusion」にゼロデイ脆弱性 ～Adobe製品が月例セキュリティ情報を公表

Adobe製品が2023年3月の月例セキュリティ情報を公表

　米Adobeは3月14日（現地時間）、同社製品に関する月例のセキュリティ情報を公開した。今回は「Commerce」や「Illustrator」、「Creative Cloud」など9製品が対象で、CVE番号ベースで106件の脆弱性が修正されている。詳細は下記の通り（括弧内はCVEベースでの脆弱性の件数と最大深刻度）。

　中でも「Adobe ColdFusion 2018」および「Adobe ColdFusion 2021」の不適切なアクセス制御の問題により任意のコードを実行される可能性がある脆弱性（CVE-2023-26360）は、すでに攻撃が確認されており、注意が必要だ。「Adobe ColdFusion 2018」はUpdate 16、「Adobe ColdFusion 2021」はUpdate 6へ更新することで修正できる。適用優先度は「1」（直ちに適用されることを推奨）。

• APSB23-17：Adobe Commerce （4件、Critical）
• APSB23-18：Adobe Experience Manager （18件、Important）
• APSB23-19：Adobe Illustrator （5件、Critical）
• APSB23-20：Adobe Dimension （58件、Critical）
• APSB23-21：Adobe Creative Cloud Desktop Application （1件、Critical）
• APSB23-22：Adobe Substance 3D Stager （16件、Critical）
• APSB23-23：Adobe Photoshop （1件、Critical）
• APSB23-25：Adobe ColdFusion （3件、Critical）

　報告されている脆弱性については悪用された場合、任意のコード実行やメモリリーク、セキュリティ機能バイパスの問題などにつながる可能性がある。なお、「Adobe ColdFusion」以外のパッチ適用優先度は最大でも「3」（各自の裁量で適用を推奨）だが、同社の公開したセキュリティアドバイザリを参照しながら、できるだけ早めの対処をおすすめする。