Adobe Commerce / Magento Open Source 2.4.8-p5 / 2.4.7-p10 / 2.4.6-p15 / 2.4.5-p17 / 2.4.4-p18がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2026年では2回目のリリースで、今年からはリリース計画が変更されている関係で、次のリリースは7月に予定されています。
Magento Open Source向けの2.4.4系と2.4.5系のメンテナンスはすでに終了しています。
そのため、2.4.4−p18と2.4.5-p17はAdobe Commerce専用のリリースとなります。

では、早速詳細を確認していくことにしましょう。

対象となるバージョン

2026年5月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.8
  • 2.4.7
  • 2.4.6

となっています。Magento Open Sourceの2.4.4系と2.4.5系はサポートが終了していますので、今回のリリースはありません。
Adobe Commerceの2.4.4系と2.4.5系に対してのみリリースが行われています。
そのため、今回のアップデートの対象バージョンは以下の通りです。

  • 2.4.8-p4以前の2.4.8系
  • 2.4.7-p9以前の2.4.7系
  • 2.4.6-p14以前の2.4.6系
  • Adobe Commerce 2.4.5-p16以前の2.4.5系
  • Adobe Commerce 2.4.4-p17以前の2.4.4系

また、Adobe Commerce B2Bにおいては、

  • 1.5.2-p4以前
  • 1.4.2-p9以前
  • 1.3.5-p14以前
  • 1.3.4-p16以前
  • 1.3.3-p17以前

が明確に対象であると示されています。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは16件の脆弱性が修正されているようです。
件数は前回と同じですが、内容のレベルに差があります。
内訳としては、

  • Criticalが10件
  • Importantが5件
  • Moderateが1件

となっています。
すべての脆弱性に対して、

  • 管理者権限
  • 攻撃に際して認証

の両方またはいずれかが必要となっているため、

  • 管理者アカウントの適切な管理
  • 二要素認証の導入
  • 管理画面へのアクセス制限

がなされていれば、緊急(72時間以内)の対応は必要ありません。レベルとしては30日以内の適用が推奨されています。
ただし、Adobeが緊急でないと判断していても、後に深刻なセキュリティ被害が発生した例もありますので、早めの適用が望ましいと言えます。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Remote Code Execution (RCE)
  • Security Feature Bypass
  • Arbitrary File Write
  • Information Disclosure
  • Denial of Service
  • Cross-site Scripting (XSS)

の6種類となっています。

Application Denial-of-Service (DoS) と Security Feature Bypass、Arbitrary Code Execution の3種類で全体の約81%(13件)を占めています。
Critical の脆弱性はすべて認証または管理者権限が必要ですが、これは現時点での発表であるため、やはり早めの適用が重要視されます。

いずれの脆弱性も公表時点での悪用は確認されていません。

今回のリリースの緊急性について

Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。

  • 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
  • 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
  • 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。

今回のリリースについては、

  • Adobe Commerce B2B・・・緊急度2
  • Adobe Commerce・・・緊急度2
  • Magento Open Source・・・緊急度2

となっています。
緊急パッチが出ていないので、通常のアップデートを30日以内を目処に行えば問題はないとAdobeからの発表には記されています。

今回のアップデートに伴う変更点

2.4.7と2.4.8系については、今回のアップデートで以下の互換性対応が追加されています。

  • MariaDB 11.8サポートの追加
  • OpenSearch3系サポートの追加
  • Valkey 8.1 LTSサポートの追加
  • RabbitMQ 4.2サポートの追加

とくにMariaDB 11.8サポートについては、MySQL 8.0のサポート期限が終了していることに関係しています。
早いうちにMySQL 8.0系を使用しているサイトについてはMariaDB に移行することが推奨されます。

まとめ

2026年最初のAdobe Commerce / Magento Open Sourceのアップデートは、緊急パッチを伴わないものとなりました。
ただ、脆弱性の件数は多いため、油断は禁物です。
また、繰り返しになりますがAdobeが「問題ない」と発表していても実際は攻撃が成功してしまうケースが何度か起きていますので、アップデートは早めに行うことが強く推奨されます。

なお次回のアップデートは2026年7月の予定です。
前回のリリース後に、Adobe側のリリース方針が改定されたため、緊急パッチリリースが7月に行われる予定となっています。