Adobe Commerce / Magento Open Source に対する2026年7月のセキュリティパッチがリリースされました

Adobeが公表している2026年のパッチリリーススケジュール通り、セキュリティパッチがリリースされました。
今回は新バージョンのリリースではなく、セキュリティパッチのみのリリースとなっています。
なお、Magento Open Source向けの2.4.4系と2.4.5系のメンテナンスはすでに終了しています。
そのため、2.4.4用と2.4.5用のパッチはAdobe Commerce専用のリリースとなります。
では、早速詳細を確認していくことにしましょう。
対象となるバージョン
2026年7月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、
- 2.4.9
- 2.4.8
- 2.4.7
- 2.4.6
となっています。
前述の通りMagento Open Sourceの2.4.4系と2.4.5系はサポートが終了していますので、対象外です。
Adobe Commerceの2.4.4系と2.4.5系に対してのみリリースが行われています。
そのため、今回のアップデートの対象バージョンは以下の通りです。
- 2.4.9系
- 2.4.8-p5以前の2.4.8系
- 2.4.7-p10以前の2.4.7系
- 2.4.6-p15以前の2.4.6系
- Adobe Commerce 2.4.5-p17以前の2.4.5系
- Adobe Commerce 2.4.4-p18以前の2.4.4系
また、Adobe Commerce B2Bにおいては、
- 1.5.3
- 1.5.2-p5以前
- 1.4.2-p10以前
- 1.3.4-p17以前
- 1.3.3-p18以前
が明確に対象であると示されています。
また、Adobe Commerce Eventsの1.6.0から1.20.0も対象となっています。
セキュリティパッチの内容
Adobe Security Bulletinによると、今回のセキュリティパッチでは14件の脆弱性が修正されているようです。
内訳としては、
- Criticalが8件
- Importantが4件
- Moderateが2件
となっています。
まずはレベル別に見ていくことにしましょう。
レベル: Critical
まずはCriticalです。こちらは前述の通り8件あります。
| CVE | 種類 | 想定される影響 | CVSS | 認証 | 管理者権限 | 備考 |
| CVE-2026-48356 | 危険な種類のファイルを無制限にアップロード可能(CWE-434) | 権限昇格 | 9.6 | 不要 | 不要 | 利用者操作が必要 |
| CVE-2026-48358 | 出力の不適切なエンコード/エスケープ(CWE-116) | 任意コード実行 | 9.1 | 必要 | 必要 | Webhookのみ |
| CVE-2026-47994 | 格納型XSS(CWE-79) | 権限昇格 | 8.7 | 必要 | 必要 | 利用者操作が必要 |
| CVE-2026-47988 | 不適切な認可(CWE-863) | セキュリティ機能回避 | 8.6 | 不要 | 不要 | |
| CVE-2026-47984 | 不適切な認可(CWE-863) | セキュリティ機能回避 | 8.2 | 不要 | 不要 | |
| CVE-2026-47995 | 格納型XSS(CWE-79) | 権限昇格 | 8.1 | 必要 | 必要 | Adobe Commerce B2Bのみ |
| CVE-2026-47996 | 不適切な認可(CWE-863) | セキュリティ機能回避 | 7.6 | 必要 | 必要 | |
| CVE-2026-47992 | 不適切な入力検証(CWE-20) | 権限昇格 | 7.2 | 必要 | 必要 |
特に警戒すべきなのは、認証も管理者権限も不要なCriticalが3件ある点です。
- CVE-2026-48356
- CVE-2026-47988
- CVE-2026-47984
このうちCVE-2026-48356は利用者操作を必要とするものの、CVSS 9.6です。一方、CVE-2026-47988とCVE-2026-47984は利用者操作も不要です。
レベル: Important
次はImportantです。こちらは前述の通り4件あります。
| CVE | 種類 | 想定される影響 | CVSS | 認証 | 管理者権限 |
| CVE-2026-47997 | 不適切な認可(CWE-863) | セキュリティ機能回避 | 5.9 | 不要 | 不要 |
| CVE-2026-47998 | 不適切な認可(CWE-863) | セキュリティ機能回避 | 5.9 | 不要 | 不要 |
| CVE-2026-48371 | 格納型XSS(CWE-79) | 任意コード実行 | 5.4 | 必要 | 必要 |
| CVE-2026-47999 | 格納型XSS(CWE-79) | 任意コード実行 | 4.8 | 必要 | 必要 |
Importantの認可不備2件も、認証なしで悪用できるとされています。
攻撃条件の複雑度が高いためCVSSは5.9ですが、未認証の外部攻撃面として確認が必要です。
レベル: Moderate
最後はModerateです。こちらは2件あります。
| CVE | 種類 | 想定される影響 | CVSS | 認証 | 管理者権限 |
| CVE-2026-48000 | オープンリダイレクト(CWE-601) | セキュリティ機能回避 | 4.3 | 必要 | 必要 |
| CVE-2026-48001 | オープンリダイレクト(CWE-601) | セキュリティ機能回避 | 3.7 | 不要 | 不要 |
CVE-2026-48001はModerateですが、認証なしで到達可能とされています。
今回のリリースの緊急性について
Adobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。
- 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。
- 緊急度2・・・中位の緊急度。30日以内の対処を推奨。
- 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。
今回のリリースについては、
- Adobe Commerce B2B・・・緊急度2
- Adobe Commerce・・・緊急度2
- Magento Open Source・・・緊急度2
- Adobe Commerce Events・・・緊急度2
となっています。
緊急パッチが出ていないので、通常のアップデートを30日以内を目処に行えば問題はないとAdobeからの発表には記されています。
今回のアップデートに伴う変更点
今回のパッチでは、Nginx向けの設定ファイルサンプルに変更が加えられています。
Nginxを使用しているプロジェクトの場合は、サンプルを参考に定義変更を行う必要があります。
パッチ適用時の注意点
今回のセキュリティパッチは、最新バージョンのAdobe Commerce / Magento Open Sourceを対象としています。
「最新バージョン」の意味としては、
- 2.4.9
- 2.4.8-p5
- 2.4.7-p10
- 2.4.6-p15
のようにパッチバージョンが最新であるものが対象ということです。
これらより古いパッチバージョンに対して今回のセキュリティパッチを適用することは自己責任です。
今回のリリースで追加されたツール
リリースノートには書かれていませんが、パッチの適用状態を確認するためのコマンドが追加されています。
vendor/bin/patch-status
を実行すると、パッチの適用状況が次のように出力されます。
{
"base_version": "2.4.7-p10",
"installed_components": {
"CE": "2.4.7-p10",
"PageBuilder": "2.2.5-p10",
"Inventory": "1.2.7-p10",
"AdobeStock": "2.1.8",
"AdobeIMS": "2.2.4",
"SecurityPkg": "1.1.6-p10"
},
"applied_patches": [
"247p10-2026-07-001-CE"
],
"missing_patches": [],
"unknown_patches": [],
"vulnerability_status": {
"CVE-2026-47984": {
"status": "PROTECTED"
},
"CVE-2026-47988": {
"status": "PROTECTED"
},
"CVE-2026-47992": {
"status": "PROTECTED"
},
"CVE-2026-47994": {
"status": "NOT_APPLICABLE"
},
"CVE-2026-47995": {
"status": "NOT_APPLICABLE"
},
"CVE-2026-47996": {
"status": "PROTECTED"
},
"CVE-2026-47997": {
"status": "PROTECTED"
},
"CVE-2026-47998": {
"status": "PROTECTED"
},
"CVE-2026-47999": {
"status": "PROTECTED"
},
"CVE-2026-48000": {
"status": "PROTECTED"
},
"CVE-2026-48001": {
"status": "PROTECTED"
},
"CVE-2026-48356": {
"status": "PROTECTED"
},
"CVE-2026-48358": {
"status": "PROTECTED"
}
},
"registry_source": "cache",
"warnings": []
}
上記の環境はMagento Open Sourceなので、CVE-2026-47994とCVE-2026-47995は対象外となっています。
(これらはAdobe CommerceとAdobe Commerce B2B向けです)
なお、独自にコアコードに対する修正を行っている場合は、パッチ適用状況が「未適用」になる可能性があります。
まとめ
2026年7月のAdobe Commerce / Magento Open Sourceのセキュリティパッチは、広い範囲に対する修正を伴うものとなりました。
とくに、パッチの適用対象が「各バージョンの最新」に限定された点は注意が必要です。
パッチ適用のために最新バージョンへアップデートしなければならないため、これまでよりも作業量が多くなる点に注意が必要です。