Adobe Commerce / Magento Open Source 2.4.7-p4 / 2.4.6-p9 / 2.4.5-p11 / 2.4.4-p12がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2025年では最初のリリースです。次回は4月の予定で、2.4.4系については次回が最終リリースとなる予定です。
では、早速詳細を確認していくことにしましょう。

対象となるバージョン

2025年2月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.7
  • 2.4.6
  • 2.4.5
  • 2.4.4

となっています。
以前のリリースではAdobe Commerceに対する延長サポートとして、2.4.3以前のバージョンに対する記述が含まれていたこともありますが、前回辺りから消えています。
そのため、今回のアップデートの対象バージョンは以下の通りです。

  • 2.4.7-p3以前の2.4.7系
  • 2.4.6-p8以前の2.4.6系
  • 2.4.5-p10以前の2.4.5系
  • 2.4.4-p11以前の2.4.4系

また、Adobe Commerce B2Bにおいては、

  • 1.5.0以前
  • 1.4.2-p3以前
  • 1.3.5-p8以前
  • 1.3.4-p10以前
  • 1.3.3-p11以前

が明確に対象であると示されています。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは30件の脆弱性が修正されているようです。
このうち

  • Criticalが13件
  • Importantが14件
  • Moderateが3件

となっています。

このうち、

  • 認証と管理者権限が不要な脆弱性が1件
  • Adobe Commerce B2Bが対象となるCriticalが8件

あります。
前者の脆弱性を修正するための緊急パッチが別途リリースされています。こちらについては後述します。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Security feature bypass
  • Privilege escalation
  • Arbitrary code execution
  • Arbitrary file system read

の4種類となっています。

これらの脆弱性については、Adobe Security Bulletinは

Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials.

Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges.

としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して

  • 認証情報
  • 管理者権限

のいずれかまたは両方が必要なものが大半を占めています。(管理者権限が必要なものがほとんどです)
なお、CVE-2025-24434 のみがどちらも必要としていない点に注意が必要です。

今回のリリースの緊急性について

Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。

  • 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
  • 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
  • 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。

今回のリリースについては、

  • Adobe Commerce B2B・・・緊急度2
  • Adobe Commerce・・・緊急度1
  • Magento Open Source・・・緊急度1

となっています。
2024年6月のアップデート後に問題となった、CosmicStingと同レベルの脆弱性が今回のリリースでは修正されているため、早急なアップデートまたはセキュリティパッチ適用が必要です。

緊急パッチ同時リリース

今回のアップデートに付随する形で、緊急パッチがリリースされています。
このパッチは CVE-2025-24434 を修正することが目的で、今回のセキュリティアップデート対象のAdobe Commerce とMagento Open Sourceに共通するパッチとなっています。
セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。

なお、この緊急パッチは主に顧客作成APIと非同期APIにおける問題を修正するもので、対象ファイルは10個程度です。

今回のアップデートに伴う仕様変更

リリースノート(リンク先は2.4.7ですが、2.4.6以前にも同じ内容が書かれています)によると、今回のアップデートに伴い、

  • 暗号化キーの更新機能の改良(CosmicSting関連と推測)

が含まれています。
何故かリリースノートには書かれていませんが、私が確認した範囲では追加で以下の変更が含まれているようです。(2.4.7-p3 -> 2.4.7-p4のアップデートで確認)

  • TinyMCE7の削除とTinyMCE6へのダウングレード
  • reCAPTCHAに関するモジュールの追加

パッチリリース済みバージョンへのアップデートの際は十分検証したほうが良いでしょう。

まとめ

2025年初回のAdobe Commerce / Magento Open Sourceのアップデートは、かなり影響度の高いものとなりました。
CosmicStingと同様に、このアップデートも長期間未適用のまま放置してはいけないものとなっています。

次回のリリースはいよいよ2.4.8が正式版となり、2.4.4の最終リリースとなります。
引き続き注視していきたいと思います。