Adobe Commerce / Magento Open Source 2.4.7-p1 / 2.4.6-p6 / 2.4.5-p8 / 2.4.4-p9がリリースされました

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。
今回のリリースは2024年では4回目、今年はあと2回リリースが予定されています。
早速詳細を確認していくことにしましょう。

対象となるバージョン

2024年6月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、

  • 2.4.7
  • 2.4.6
  • 2.4.5
  • 2.4.4

となっています。

Adobe Commerce向けには延長サポートとして、2.4.3以前のバージョンに対するアップデートも提供されていますが、これはあくまでも希望者向けの限定的な対応のため、通常は利用できません。
本来のセキュリティアップデート対象としては、

  • 2.4.7
  • 2.4.6-p5以前の2.4.6系
  • 2.4.5-p7以前の2.4.5系
  • 2.4.4-p8以前の2.4.4系

ということになります。

アップデートの内容

Adobe Security Bulletinによると、今回のアップデートでは10件の脆弱性が修正されているようです。
このうち

  • Criticalが7件
  • Importantが3件

となっています。
なお、このうちCriticalの3件はAdobe Commerce専用の「Adobe Commerce Webhooks Plugin」が対象となっています。
このエクステンションをインストールしていない環境については対象外です。その場合は、Criticalの脆弱性は4件です。

脆弱性の概要

今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、

  • Arbitrary code execution
  • Privilege escalation
  • Security feature bypass

の3種類となっています。

「Adobe Commerce Webhooks Plugin」向けにはArbitrary code executionが3件対象となっています。

これらの脆弱性については、Adobe Security Bulletinは

Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials.

Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges.

としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して

  • 認証情報
  • 管理者権限

が必要なものが大半を占めています。
CVE-2024-34107 のみがどちらも必要としていない点に注意が必要です。

まとめ

今回のセキュリティリリースは、修正された脆弱性の数が比較的多い印象です。
通常であれば対象ファイルを精査しているのですが、今回は修正件数に比例し、対象のファイル数が多いため省略します。

なお、今回のアップデートで仕様変更を受けている機能が一部あるようなので、そちらについては別記事で解説したいと思います。