Adobe Commerce / Magento Open Source 2.4.6-p1, 2.4.5-p3, 2.4.4-p4がリリースされました

リリース計画で予定されていた通り、Magento Open Source / Adobe Commerceのセキュリティアップデートリリースが行われました。
今回リリースされたバージョンとしては、

となっています。いずれもセキュリティアップデート版となっていますので、新機能の追加や大きな仕様変更はありません。
同一バージョン内でのアップデート（例: 2.4.4-p3からp4へのアップデート）は比較的容易に行えそうです。

今回のセキュリティリリースでの変更点

今回のセキュリティリリースでの変更点を確認してみましょう。
まずは、公式のSecurity Bulletinです。

公式のSecurity Bulletinをみると、12件の脆弱性が修正されたことになっています。
内訳としては、

となっています。
特にCriticalに分類されているものについては、

がそれぞれ1件ずつとなっており、特に「不正な認証（CWE-863）」については「管理者権限を要さない」となっています。
この「CWE-863」自体がこれ以外に3つの脆弱性を含んでいるため、今回のアップデートでは最も深刻度が高いものであると言えます。

コードの差分を確認する限りでは、今回のアップデートでは次のような変更が含まれています。

今回のアップデートで新しく追加された唯一の機能がこの機能です。
これまでのMagento2系では、未ログイン状態で購入画面に進んだ際に「入力したメールアドレスに紐づく会員データがあるか」を自動チェックする機能がありました。
この機能は一見便利なように見えますが、

といった行為にさらされる危険性がありました。
今回のアップデートではこの機能を無効化できるオプションが追加されました。当然のことながら、オフにすると未ログイン時にメールアドレスの存在をチェックする処理は動かなくなります。

会員限定のサービス、つまりはゲスト購入を禁止しているサイトについては特に影響のない新機能ですが、ゲスト購入を許可しているサイトではこの機能の是非について検討されても良いのではないでしょうか。

この新機能導入に伴い、GraphQLとREST APIの挙動が変更されています。

が標準状態では常に「true」を返すようになりました。
もちろん前述の設定値を変更することによって、従来の挙動に戻すことができます。ただし、変更については運営者・システム管理者の自己責任によるものとなっています。

リリース計画によると、次のリリースは太平洋標準時の2023年8月8日となっています。日本時間では8月9日にあたります。
次のリリースもセキュリティアップデートの予定ですので、大規模な変更は行われないと思われます。

ただし、次回のリリースは日本企業の夏季休暇付近に該当するため、内容については注意が必要です。
もし深刻な脆弱性の対応が含まれている場合は、できるだけ早期に適用する必要が出てきます。