Adobe Commerce / Magento Open Source 2.4.7-p3 / 2.4.6-p8 / 2.4.5-p10 / 2.4.4-p11がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースが2024年では最終となります。次回は2025年2月の予定です。
では、早速詳細を確認していくことにしましょう。

対象となるバージョン

2024年10月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.7
  • 2.4.6
  • 2.4.5
  • 2.4.4

となっています。
以前のリリースではAdobe Commerceに対する延長サポートとして、2.4.3以前のバージョンに対する記述が含まれていたこともありますが、前回辺りから消えています。
そのため、今回のアップデートの対象バージョンは以下の通りです。

  • 2.4.7-p2以前の2.4.7系
  • 2.4.6-p7以前の2.4.6系
  • 2.4.5-p9以前の2.4.5系
  • 2.4.4-p10以前の2.4.4系

また、Adobe Commerce B2Bにおいては、

  • 1.4.2-p2以前
  • 1.3.5-p7以前
  • 1.3.4-p9以前
  • 1.3.3-p10以前

が明確に対象であると示されています。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは23件の脆弱性が修正されているようです。
このうち

  • Criticalが6件
  • Importantが6件
  • Moderateが10件

となっています。

このうち、Adobe Commerce B2Bが対象となるCriticalが2件あり、この脆弱性を修正するための緊急パッチがリリースされています。こちらについては後述します。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Security feature bypass
  • Privilege escalation
  • Arbitrary code execution
  • Arbitrary file system read

の4種類となっています。

これらの脆弱性については、Adobe Security Bulletinは

Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials.

Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges.

としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して

  • 認証情報
  • 管理者権限

のいずれかまたは両方が必要なものが大半を占めています。(管理者権限が必要なものがほとんどです)
なお、CVE-2024-45115 のみがどちらも必要としていない点に注意が必要です。 ただし、この脆弱性についてはAdobe Commerce B2B版のみが対象であるため、

  • B2B版ではないAdobe Commerce
  • Magento Open Source

は対象外となり、今回のアップデート適用に関しては若干緊急度を下げても構わないとされています。

今回のリリースの緊急性について

Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。

  • 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
  • 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
  • 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。

今回のリリースについては、

  • Adobe Commerce B2B・・・緊急度2
  • Adobe Commerce・・・緊急度3
  • Magento Open Source・・・緊急度3

となっています。
B2B版の環境は注意が必要ですが、それ以外の環境については緊急度は高くありません。
これは今回修正された脆弱性のほとんど(CVE-2024-45115を除きます)について、管理者権限の奪取が必要だからです。

緊急パッチ同時リリース

今回のアップデートに付随する形で、緊急パッチがリリースされています。
このパッチは CVE-2024-45115 を修正することが目的で、今回のセキュリティアップデート対象のAdobe Commerce B2Bに共通するパッチとなっています。
セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。

今回のアップデートに伴う仕様変更

リリースノート(リンク先は2.4.7ですが、2.4.6以前にも同じ内容が書かれています)によると、今回のアップデートに伴い、

が行われています。
特にTinyMCEのアップデートはPageBuilderの使い勝手に影響する部分となっており、今回のアップデートを適用するとTinyMCE5は選べなくなります。
アップデート前に関係者に使い勝手の確認を依頼するなどの配慮が必要かもしれません。

まとめ

2024年はAdobe Commerce / Magento Open Sourceの利用者にとって、

  • アップデート回数が多い
  • 6月のリリースで過去最悪な脆弱性が報告された
  • 6月以降毎回緊急パッチがリリースされた

というあまり運用上嬉しくない年でもありました。
特に、6月のリリースで報告された「CosmicSting」は、現在進行系で多くのサイトに被害をもたらしています。
2025年も5回のリリースが予定されています。各リリースを注視していきたいと考えています。