Adobe Commerce / Magento Open Source 2.4.7-p5 / 2.4.6-p10 / 2.4.5-p12 / 2.4.4-p13がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2025年では2回目のリリースです。今回で2.4.4系のメンテナンスは終了します。Adobe Commerce向けには2.4.4系の延長サポートが提供されますが、Magento Open Source向けとしては最終となります。
では、早速詳細を確認していくことにしましょう。

対象となるバージョン

2025年4月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.7
  • 2.4.6
  • 2.4.5

となっています。Magento Open Sourceの2.4.4系は前述の通り、今回が最終リリースとなり、以後のリリースはありません。
次回以降はAdobe Commerceの2.4.4系に対してのみ、延長サポートのセキュリティリリースが行われる予定となっています。
そのため、今回のアップデートの対象バージョンは以下の通りです。

  • 2.4.7-p4以前の2.4.7系
  • 2.4.6-p9以前の2.4.6系
  • 2.4.5-p11以前の2.4.5系
  • 2.4.4-p12以前の2.4.4系

また、Adobe Commerce B2Bにおいては、

  • 1.5.1以前
  • 1.4.2-p4以前
  • 1.3.5-p9以前
  • 1.3.4-p11以前
  • 1.3.3-p12以前

が明確に対象であると示されています。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは5件の脆弱性が修正されているようです。
前回までに比べるとかなり件数が少なく、Criticalもありません。
内訳としては、

  • Importantが4件
  • Moderateが1件

となっています。

すべての脆弱性について、

  • 管理者権限
  • 攻撃に際して認証

の両方が必要となっているため、

  • 管理者アカウントの適切な管理
  • 二要素認証の導入
  • 管理画面へのアクセス制限

がなされていれば、緊急(72時間以内)の対応は必要ありません。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Security feature bypass
  • Privilege escalation
  • Application denial-of-service

の3種類となっています。

Application denial-of-serviceについては、B2B版が対象となっています。

今回のリリースの緊急性について

Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。

  • 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
  • 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
  • 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。

今回のリリースについては、

  • Adobe Commerce B2B・・・緊急度2
  • Adobe Commerce・・・緊急度2
  • Magento Open Source・・・緊急度2

となっています。
30日以内の対処が推奨されていますので、既存のカスタマイズ内容との整合性を踏まえた更新を行うようにしましょう。

今回のアップデートに伴う変更点

Adobe Commerce向けのリリースノートによると、今回のアップデートに伴い、2.4.7-p5に伴って、HIPAA対応エクステンションがサポートされるようになったと書かれています。
しかしながら、HIPAA対応エクステンションは必要がある場合のみインストールするものなので、実質的な影響はあまりないと考えてよいでしょう。

まとめ

2025年2回目のAdobe Commerce / Magento Open Sourceのアップデートは、前回までと比べると軽いものとなりました。
ただし、Magento Open Source2.4.4系は今回が最終リリースです。以後のメンテナンスは行われないため、継続してMagento Open Sourceを使い続けるのであれば、2.4.7以降のバージョンへのアップデートが不可欠です。Adobe Commerceについても延長サポートが提供されはしますが、同様にアップデートが必要です。

また、今回のリリースに伴ってAdobe Commerce / Magento Open Source 2.4.8が正式リリースされています。
こちらについては別記事で解説したいと思います。