JVNVU#91588948
Adobe ColdFusion にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性

Adobe ColdFusion には、デフォルトのインストールディレクトリにおいて ACL が適切に設定されないことに起因する権限昇格の脆弱性が存在します。

• Adobe ColdFusion 2016
• Adobe ColdFusion 2018
• Adobe ColdFusion 2021

Adobe ColdFusion インストーラは、C:\ColdFusion2021\ のようなデフォルトのインストールディレクトリに対して ACL を適切に設定できません。そのため、管理者権限を持たない Windows ユーザによって当該フォルダに悪意のある DLL ファイルを配置され、SYSTEM 権限で任意のコードを実行してしまう可能性があります。

特別に細工された DLL ファイルを特定のパスに配置されることにより、当該製品がインストールされている Windows システムにおいて SYSTEM 権限で任意のコードが実行される可能性があります。

ワークアラウンドを実施する
ColdFusionServer でロックダウン機能を設定することで本脆弱性から保護することが可能です。
開発者が提供する情報を元に、利用しているバージョンに対応するワークアラウンドを実施してください。

• Adobe ColdFusion 2016
  • ColdFusion 2016 Lockdown Guide に記載されている設定を適用する
• Adobe ColdFusion 2018
  • ColdFusion 2018 Auto-Lockdown installer を実行し、エラーなしで完了することを確認する
• Adobe ColdFusion 2021
  • ColdFusion 2021 Auto-Lockdown installer を実行し、エラーなしで完了することを確認する