Adobe公式サイト上でAdobe Commerce / Magento Open Sourceに対するセキュリティパッチがリリースされています。
時期的にはもうすぐ次のリリース(2.4.4)の時期なので、それに含まれる形になるのが通例ではありますが、今回のものは緊急度が高いということで分離してのリリースとなったようです。

脆弱性の概要

公開されているパッチの内容を見る限り、

  • メールテンプレートの描画処理における問題
  • transおよびvarディレクティブで発生
  • 脆弱性を突くためには、管理者権限が必要

であるようです。

  • 管理者アカウントのID/パスワードが安直なものである、またはどこかで使いまわしている
  • 管理画面にアクセス制限を設けていない
  • 2要素認証を使用していない
  • 管理者アカウントに対するロックアウトが設定されていない

といった状態の環境については十分注意したほうが良いでしょう。

パッチの入手先

パッチは以下のページで公開されています。

2種類のパッチが公開されていますが、それぞれ以下の違いがあります。

殆どの環境では後者のパッチをダウンロードしていただくと良いと思います。

 

パッチの適用方法

パッチを適用する場合、適用先の環境によって手順が異なります。

クラウド版Adobe Commerceの場合

クラウド版のAdobe Commerceの場合は、公式のサポートページにある手順に沿って行います。

  1. プロジェクトのルートディレクトリに「m2-hotfix」ディレクトリを作成する
  2. 公式ページからダウンロードしたパッチのzipアーカイブを展開する
  3. zipアーカイブを展開してできたパッチファイルを「m2-hotfix」ディレクトリにコピーする
  4. gitにファイルを追加し、リモートリポジトリにpushする

gitにpushが成功すると、クラウド版の場合はデプロイが開始されます。
デプロイ完了後に動作試験を行って、悪影響がないことを確認しましょう。

オンプレミス版Adobe CommerceおよびMagento Open Sourceの場合

オンプレミス版のAdobe CommerceとMagento Open Sourceの場合は、以下の手順で行います。

  1. 公式ページからダウンロードしたパッチのzipアーカイブを展開する
  2. zipアーカイブを展開してできたパッチファイルをAdobe Commerce / Magento Open Sourceのルートディレクトリに配置する
  3. patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch を実行する
  4. パッチが正常に適用されたことを確認する(うまく行かない場合は拒否されます)
  5. (必要があれば) git等にpushし、デプロイを行う

デプロイ後に動作試験を行うのはクラウド版と同じです。