Adobe Commerce / Magento Open Source 2.4.6-p5 / 2.4.5-p7 / 2.4.4-p8がリリースされました
リリーススケジュール通り、Adobe CommerceとMagento Open Sourceに対するセキュリティアップデートが公開されました。
今回のセキュリティアップデートについては、Adobe Security Bulletinで概要が開示されています。
今回はこのセキュリティアップデートについて詳しく解説したいと思います。
対象となるバージョン
2024年4月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統としては、
- 2.4.7
- 2.4.6
- 2.4.5
- 2.4.4
があります。
Adobe Commerce向けには延長サポートして、2.4.3以前のバージョンに対するアップデートも提供されていますが、これはあくまでも希望者向けの限定的なものとなります。
本来のセキュリティアップデート対象としては、
- 2.4.7-beta3以前の2.4.7系
- 2.4.6-p4以前の2.4.6系
- 2.4.5-p6以前の2.4.5系
- 2.4.4-p7以前の2.4.4系
ということになります。
アップデートの内容
Adobe Security Bulletinによると、今回のアップデートでは2件の脆弱性が修正されているようです。
このうち
- Criticalが2件
となっています。
2024年は比較的短い間隔でセキュリティアップデートが実施されるため、今回の件数は少なめです。
ただし、件数は少ないかわりに重要度は変わらず高いため、早めのアップデートが推奨されます。
脆弱性の概要
今回のアップデートで各バージョンとも修正された脆弱性は、
- Improper Input Validation
- Cross-site Scripting (Stored XSS)
の2点です。
入力値チェックの不備と、データベースに保存されたデータを起点として発生するクロスサイト・スクリプティングです。
どちらも放置して良いものではないので、対処が必要ですね。
対象となるファイル
Magento Open Source 2.4.6-p4から2.4.6-p5へアップデートした際に発生した差分を確認したところ、以下のファイルが影響を受けています。
- vendor/magento/framework/Data/Form/Element/Image.php
- vendor/magento/framework/Mail/EmailMessage.php
- vendor/magento/module-admin-adobe-ims/Console/Command/AdminAdobeImsDisableCommand.php
- vendor/magento/module-admin-adobe-ims/Console/Command/AdminAdobeImsEnableCommand.php
- vendor/magento/module-admin-adobe-ims/Console/Command/AdminAdobeImsInfoCommand.php
- vendor/magento/module-admin-adobe-ims/Console/Command/AdminAdobeImsStatusCommand.php
- vendor/magento/module-catalog/Model/Config/Backend/File.php
- vendor/magento/module-customer/Model/ResourceModel/CustomerRepository.php
module-admin-adobe-imsについては、コンソールに表示されるメッセージの処理が変わった程度のようです。
あまり気にしなくてもよいでしょう。
その他については、値チェック処理やエスケープ処理が修正・追加されています。
ファイル数としては多くないようなので、目視差分チェックも十分可能でしょう。
アップデート全体に対するまとめ
今回のアップデートは、前回から2ヶ月程度の間隔でリリースされたものですが、内容としては小規模な修正にとどまっています。
ただし、脆弱性の脅威度は高いものが2件となっていますので、早い段階での適用が望ましいと思われます。
なお、次のリリースは2024年6月11日(日本時間だと6月12日)の予定です。次回はセキュリティアップデートのみとなる予定です。
