ドキュメントCommerceリリース情報

Adobe Commerce 2.4.3 セキュリティパッチのリリースノート

最終更新日: 2026年5月15日

作成対象:

  • Experienced
  • Admin
  • Developer

これらのセキュリティパッチリリースノートには、Adobe Commerceのデプロイメントのセキュリティを強化するためのアップデートが記載されています。 情報には、以下のものが含まれますが、これらに限定されません。

  • セキュリティのバグ修正
  • セキュリティパッチに含まれる機能強化とアップデートに関する詳細を提供するセキュリティハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースの詳細:

Adobe Commerce 2.4.3-p3

Adobe Commerce 2.4.3-p3 セキュリティリリースでは、以前のリリースの2.4.3で特定された脆弱性に対するセキュリティ修正が提供されています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB22-38を参照してください。

配送業者としてDHLを提供し続けるには、AC-3022.patchを適用します

DHLはスキーマバージョン 6.2を導入しており、近い将来スキーマバージョン 6.0を廃止する予定です。 DHL統合をサポートするAdobe Commerce 2.4.4以前のバージョンは、バージョン 6.0のみをサポートします。 これらのリリースを展開する販売者は、DHLを配送業者として提供し続けるために、最も早い都合でAC-3022.patchを適用する必要があります。 パッチのダウンロードとインストールについて詳しくは、配送業者としてDHLを提供し続けるためのパッチの適用 ナレッジベースの記事を参照してください。

セキュリティのハイライト

  • ACL リソースがインベントリに追加されました。
  • インベントリテンプレートのセキュリティが強化されました。

Adobe Commerce 2.4.3-p2

Adobe Commerce 2.4.3-p2 セキュリティリリースには、以前のリリースで特定された脆弱性に対するセキュリティバグ修正が含まれています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB22-13を参照してください。 パッチリリースでは、MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zipMDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zipMDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patchMDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patchが解決した脆弱性も解決されます。

配送業者としてDHLを提供し続けるには、AC-3022.patchを適用します

DHLはスキーマバージョン 6.2を導入しており、近い将来スキーマバージョン 6.0を廃止する予定です。 DHL統合をサポートするAdobe Commerce 2.4.4以前のバージョンは、バージョン 6.0のみをサポートします。 これらのリリースを展開する販売者は、DHLを配送業者として提供し続けるために、最も早い都合でAC-3022.patchを適用する必要があります。 パッチのダウンロードとインストールについて詳しくは、配送業者としてDHLを提供し続けるためのパッチの適用 ナレッジベースの記事を参照してください。

セキュリティのハイライト

  • メール変数の使用は、より厳格な変数の構文を優先するセキュリティリスク軽減の一環として、2.3.4で廃止されました。 このレガシー動作は、そのセキュリティリスク軽減の継続として、このリリースで完全に削除されました。

    その結果、以前のバージョンで動作していた電子メールやニュースレターのテンプレートが、Adobe Commerce 2.4.3-p2にアップグレードした後で正しく動作しない場合があります。 影響を受けるテンプレートには、管理者の上書き、テーマ、子テーマ、カスタムモジュールまたはサードパーティの拡張機能のテンプレートが含まれます。 非推奨の使用を修正するために​ アップグレード互換性ツール ​を使用した後でも、デプロイメントが影響を受ける可能性があります。 影響を受けるテンプレートを移行する際の潜在的な影響とガイドラインについては、​ カスタムメールテンプレートの移行を参照してください。

  • OAuth アクセストークンとパスワードリセットトークンは、データベースに保存されたときに暗号化されるようになりました。

  • 非英数字のファイル拡張子のアップロードを防ぐため、検証が強化されました。

  • Adobe Commerceが実稼動モードの場合、Swaggerはデフォルトで無効になりました。

  • 開発者は、エンドポイントごとに、Adobe Commerce RESTful エンドポイントで受け入れられる配列のサイズ制限を設定できるようになりました。 API セキュリティ ​を参照してください。

  • ユーザーがweb APIを通じてシステム全体でリクエストできるリソースのサイズと数を制限し、個々のモジュールのデフォルトを上書きするためのメカニズムを追加しました。 この機能強化により、MC-43048__set_rate_limits__2.4.3.patchが対処した問題が解決されます。 API セキュリティ ​を参照してください。

2.4.3-p1

Adobe Commerce 2.4.3-p1 セキュリティリリースには、以前のリリース(Adobe Commerce 2.4.3およびMagento Open Source 2.4.3)で特定された脆弱性に対するセキュリティバグ修正が含まれています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB21-86を参照してください。 このパッチリリースでは、BraintreeKlarnaVertexのベンダーが開発した拡張機能のバグ修正も提供されています。

配送業者としてDHLを提供し続けるには、AC-3022.patchを適用します

DHLはスキーマバージョン 6.2を導入しており、近い将来スキーマバージョン 6.0を廃止する予定です。 DHL統合をサポートするAdobe Commerce 2.4.4以前のバージョンは、バージョン 6.0のみをサポートします。 これらのリリースを展開する販売者は、DHLを配送業者として提供し続けるために、最も早い都合でAC-3022.patchを適用する必要があります。 パッチのダウンロードとインストールについて詳しくは、配送業者としてDHLを提供し続けるためのパッチの適用 ナレッジベースの記事を参照してください。

ホットフィックス

このリリースには、次のホットフィックスと、以前のパッチリリースでリリースされたすべてのホットフィックスが含まれています。

セキュリティのハイライト

セッション IDがデータベース​から削除されました。 このコードの変更により、マーチャントがカスタマイズを行ったり、データベースに保存されている生のセッション IDを使用する拡張機能をインストールしたりすると、破損する可能性があります。

Media Gallery フォルダー​への管理者アクセスが制限されています。 デフォルトのメディアギャラリー権限で、設定で明示的に許可されているディレクトリ操作(表示、アップロード、削除、作成)のみが許可されるようになりました。 管理者ユーザーは、catalog/categoryまたはwysiwyg ディレクトリ以外にアップロードされたメディアギャラリーを通じてメディアアセットにアクセスできなくなります。 メディアアセットにアクセスする管理者は、明示的に許可されたフォルダーに移動するか、設定を調整する必要があります。 ​ メディアライブラリフォルダーの権限の変更を参照してください。

GraphQL クエリの複雑さの制限を下げました。 サービス拒否(DOS)攻撃を防ぐために、GraphQLで許可される最大クエリの複雑さが軽減されました。 GraphQL セキュリティ設定を参照してください。

最近の侵入テストの脆弱性​は、このリリースで修正されました。

サポートされていないソース式unsafe-inlineがコンテンツセキュリティポリシーframe-ancestors ディレクティブから削除されました。 GitHub-33101

recommendation-more-help
commerce-operations-help-release