Adobe Commerce / Magento Open Source 2.4.8-p1 / 2.4.7-p6 / 2.4.6-p11 / 2.4.5-p13 / 2.4.4-p14がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2025年では3回目のリリースです。Magento Open Source向けの2.4.4系のリリースはすでに終了していますので、2.4.4−p13はAdobe Commerce専用のリリースとなります。

では、早速詳細を確認していくことにしましょう。

対象となるバージョン

2025年4月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.8
  • 2.4.7
  • 2.4.6
  • 2.4.5

となっています。Magento Open Sourceの2.4.4系は前回が最終リリースとなり、今回のリリースはありません。
Adobe Commerceの2.4.4系に対してのみ、延長サポートとして2.4.4-p13がリリースされています。
そのため、今回のアップデートの対象バージョンは以下の通りです。

  • 2.4.8
  • 2.4.7-p5以前の2.4.7系
  • 2.4.6-p10以前の2.4.6系
  • 2.4.5-p12以前の2.4.5系
  • Adobe Commerce 2.4.4-p13以前の2.4.4系

また、Adobe Commerce B2Bにおいては、

  • 1.5.2以前
  • 1.4.2-p5以前
  • 1.3.5-p10以前
  • 1.3.4-p12以前
  • 1.3.3-p13以前

が明確に対象であると示されています。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは5件の脆弱性が修正されているようです。
件数は前回と同じですが、内容のレベルに差があります。
内訳としては、

  • Criticalが2件
  • Importantが3件

となっています。
このうちCVE-2025-47110について「攻撃に際して認証」が不要となっています。こちらについては緊急パッチがリリースされています。
それ以外については、

  • 管理者権限
  • 攻撃に際して認証

の両方が必要となっているため、

  • 管理者アカウントの適切な管理
  • 二要素認証の導入
  • 管理画面へのアクセス制限

がなされていれば、緊急(72時間以内)の対応は必要ありません。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Arbitary code execution
  • Security feature bypass
  • Privilege escalation

の3種類となっています。

Privilege escalationについては、B2B版が対象となっています。

緊急セキュリティパッチ

今回のセキュリティリリースに含まれている「CVE-2025-47110」については、緊急セキュリティパッチがリリースされています。
パッチの内容を確認したところ、Magento_Emailモジュールにおけるデータ取扱の不備を修正するものであるようです。

修正内容自体は軽微なものなので早めに当てておくとよいでしょう。

今回のリリースの緊急性について

Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。

  • 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
  • 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
  • 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。

今回のリリースについては、

  • Adobe Commerce B2B・・・緊急度2
  • Adobe Commerce・・・緊急度1
  • Magento Open Source・・・緊急度1

となっています。
今回は緊急度1が含まれますが、前述の緊急セキュリティパッチを当てておけば一旦は問題ありません。
その後、通常のアップデートを30日以内を目処に行えば完璧です。

今回のアップデートに伴う変更点

Adobe Commerce向けのリリースノートによると、今回のアップデートに伴い、Cookieのキー値上限数に関する後方互換性問題が修正されています。
また、バルクAPIにおけるパフォーマンス劣化も修正されているようです。

まとめ

2025年3回目のAdobe Commerce / Magento Open Sourceのアップデートは、脆弱性の件数は少ないものの、緊急パッチを伴うものとなりました。
Magento Open Source 2.4.4系向けにはアップデートはありませんが、今回リリースされている緊急パッチは適用可能です。早めに適用しておきましょう。

次回のセキュリティリリースは8月です。夏休みの方も多い時期ですが、セキュリティリリースは注視するようにしましょう。