セキュリティ情報

メーカーサイトの「セキュリティ速報および情報（http://helpx.adobe.com/jp/security.html）」に、ColdFusionを含む各製品のセキュリティアップデート情報が掲載されています。セキュリティアップデートの適用方法は、各セキュリティアップデートの説明をご覧ください。

※[重要]2023年5月現在、メーカーで確認された脆弱性に対して最新の修正パッチが提供されるバージョンは、ColdFusion 2023、2021、2018（2023/7提供終了）のみとなります。それ以前のバージョンでは、セキュリティアップデートの提供は終了しており、最新のセキュリティ脅威に対応することができません。

ColdFusionは、Javaをベースとしたアプリケーションです。デフォルトのインストールでは、ColdFusionに同梱された Java Virtual Machine(JVM) を使用しますが、JVM側で何らかのセキュリティ脅威が報告された場合は、その脅威を取り除くためにJVMのアップデートをご検討下さい。
（参考）

• ColdFusionが使用するJVMを変更する方法について
• ColdFusion がサポートするJVMについて

その他、今後発生する可能性があるセキュリティの脅威に対するリスクを軽減すべく、環境面も踏まえた対応をご検討下さい

（参考）

• OSやWebサイトのセキュリティを高める
  • システム・Web監視や脆弱性診断、.cfmや.cfcページのファイル改ざん監視等
• ColdFusionのプログラムの品質
  • XSSやSQLインジェクション、セッションハイジャック等、脆弱性に対する脅威がプログラムに存在しないか
    CFMLデベロッパーセキュリティガイド（英語）
    
• CFIDE 以下の Administrator や adminapi, componentutilsへのアクセス制限
  • サーバーロックガイドに沿ったWebサーバーのアクセス制限等
    ColdFusion 2021 サーバーロックダウンガイド（英語）
    ColdFusion 2018 サーバーロックダウンガイド（英語）