2025年12月9日(現地時間)付のAdobe月例セキュリティ更新では、5つの製品群に対してセキュリティアドバイザリが公開されました。特にAdobe ColdFusionに関しては、最も緊急度の高いPriority 1に指定されており、任意のコード実行やセキュリティ機能の回避につながる深刻な脆弱性が修正されています。また、Adobe Experience ManagerにおいてもCVSSスコア9.3という極めて危険度の高い脆弱性が報告されているほか、広く利用されているAcrobat/Readerにもコード実行の恐れがある脆弱性が含まれており、速やかな確認と更新が推奨されます。
対象製品
- Priority 1
- Adobe ColdFusion (ColdFusion 2025, ColdFusion 2023, ColdFusion 2021)
- Priority 2
- なし
- Priority 3
- Adobe Experience Manager (AEM Cloud Service, AEM 6.5 LTS)
- Adobe Acrobat and Reader (Acrobat DC, Acrobat Reader DC, Acrobat 2024, Acrobat 2020, Acrobat Reader 2020)
- Adobe DNG Software Development Kit (SDK)
- Adobe Creative Cloud Desktop Application
注目の脆弱性
今回のアップデートから、影響度やスコアが高い脆弱性を3つピックアップして解説します。
CVE-2025-61808: Adobe ColdFusion における危険なタイプのファイルの無制限アップロード
CVSSスコア(Rating)
- CVSS v3.1: 9.1 (Critical)
- 出典: Adobe
詳細
ColdFusionの各バージョン(2025 Update 4以下、2023 Update 16以下、2021 Update 22以下)に存在する「危険なタイプのファイルの無制限アップロード(Unrestricted Upload of File with Dangerous Type)」の脆弱性です。この脆弱性が悪用されると、攻撃者は任意のコードを実行可能となります。Priority 1に指定されており、悪用された場合の影響が甚大であるため、管理者は提供されている修正パッチ(Update 5, 17, 23)を最優先で適用する必要があります。
CVE-2025-64537: Adobe Experience Manager におけるクロスサイトスクリプティング(DOM-based XSS)
CVSSスコア(Rating)
- CVSS v3.1: 9.3 (Critical)
- 出典: Adobe
詳細
Adobe Experience Manager (AEM) に存在するDOMベースのクロスサイトスクリプティング(XSS)の脆弱性です。通常XSSの影響は限定的ですが、本脆弱性はAdobeにより「任意のコード実行(Arbitrary code execution)」につながる可能性があると評価されており、CVSSスコアも9.3と極めて高い値が付けられています。認証なしで攻撃が可能であるため(AV:N/PR:N)、AEMを利用している組織は直ちにAEM Cloud Service Release 2025.12やService Packへの更新を行うことが強く推奨されます。
CVE-2025-64785: Adobe Acrobat / Reader における信頼できない検索パス
CVSSスコア(Rating)
- CVSS v3.1: 7.8 (Critical)
- 出典: Adobe
詳細
AcrobatおよびAcrobat ReaderのWindows版およびmacOS版に存在する「信頼できない検索パス(Untrusted Search Path)」の脆弱性です。アプリケーションがリソースやライブラリを読み込む際のパス検索処理に不備があり、攻撃者が配置した悪意のあるファイルを読み込ませることで、任意のコード実行が可能になる恐れがあります。Priorityは3とされていますが、業務で広く利用されているPDF閲覧ソフトであるため、組織内でのバージョン確認と更新計画の策定が必要です。
参考情報
- Adobe Security Bulletins and Advisories - Latest Product Security Updates
- National Vulnerability Database (NVD)