Adobe Commerce / Magento Open Sourceを対象とした緊急セキュリティリリース APSB25-88がでています

日本時間の2025年9月9日現在、Adobe Commerce / Magento Open Sourceを対象とした、緊急セキュリティリリースが公開されています。
Adobe Security Bulletinによると、このリリースは「APSB25-88」として採番されており、緊急度は3段階中の2番目(最も高いもの)とされています。(緊急度の定義はこちら
今回はこのセキュリティリリースの内容について解説していきたいと思います。

APSB25-88の対象となる環境とは

APSB25-88の対象になる環境は、現在サポートされているAdobe Commerce / Magento Open Sourceのほぼすべてのバージョンです。
対象になるAdobe Commerce / Magento Open Sourceのバージョンですが、以下のとおりです。

Adobe Commerce

  • 2.4.9-alpha2以前

     

  • 2.4.8-p2以前

     

  • 2.4.7-p7以前

     

  • 2.4.6-p12以前

     

  • 2.4.5-p14以前

     

  • 2.4.4-p15以前

Adobe Commerce B2B

  • 1.5.3-alpha2以前
  • 1.5.2-p2以前
  • 1.4.2-p7以前
  • 1.3.4-p14以前
  • 1.3.3-p15以前

Magento Open Source

  • 2.4.9-alpha2以前
  • 2.4.8-p2以前
  • 2.4.7-p7以前
  • 2.4.6-p12以前
  • 2.4.5-p14以前

Magento Open Sourceの2.4.4系が対象に含まれていませんが、これは公式サポートが終了していることが理由です。
ですが、今回の脆弱性が対象にしている箇所は共通部分であるため、Magento Open Source2.4.4系をまだ稼働させているサイトについても今回のセキュリティパッチの適用が必要です。

脆弱性の概要

Adobe Security Bulletinによると、APSB25-88の脆弱性は

Security feature bypass

とされています。
対象箇所はWeb API部分であり、かつ攻撃の成立に際しては

  • 管理者としての認証
  • 管理者権限の奪取

がいずれも不要となっています。そのため、脆弱性未修正の環境においては攻撃が容易に成立する可能性がありえます。

脆弱性の対処方法

この脆弱性への対処手順は以下のとおりです。

  1. magento/out-of-process-custom-attributes を4.0.0に更新する
  2. 公開されている緊急セキュリティパッチを適用する
  3. 1と2を同時にデプロイする

なお、magento/out-of-process-custom-attributesというエクステンションですが、通常のインストールには含まれていないものです。
Adobe Commerce as a Cloud Serviceでは標準インストールされるものですが、それ以外の構成・環境では標準インストールされません。
また、Magento Open Sourceはサポート対象外のため、インストールはできません。

脆弱性が含まれるエクステンションがないからと言って、脅威レベルがゼロになるわけではありません。Adobe Commerce(オンプレ・クラウド共通)とMagento Open Sourceの両環境ともに今回のセキュリティパッチを適用しておくことを強くおすすめします。