Adobe Commerce 2.4.5 セキュリティパッチのリリースノート

TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係（7.3​）を使用するようになりました。

• TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました​

• TinyMCE 5.10 で報告されているセキュリティの脆弱性（CVE-2024-38357）があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js （2.3.7）が使用されるようになりました。

• Require.js 2.3.6 でセキュリティの脆弱性（CVE-2024-38999）が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

one-time passwords のレート制限：two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。

• 二要素認証の再試行制限
• 二要素認証ロックアウト時間（秒）

Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 設定リファレンスガイド の セキュリティ/2FA を参照してください。

暗号化キーのローテーション：新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、 暗号化キーのローテーションのトラブルシューティング：CVE-2024-34102 ナレッジベースの記事を参照してください。

CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。

CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。

Google マップが PageBuilder エディターで正しくレンダリングされないJavaScript エラーを解決するためのホットフィックス。 詳しくは、Google マップの改訂版パッチのすべてのAdobe Commerce バージョンのアクセス損失ナレッジベース記事を参照してください。

CVE-2024-34102 に関連する JSON web トークン（JWT）検証の問題を解決するためのホットフィックス。 詳しくは、ナレッジベースの記事 Adobe Commerce-APSB24-40 用のセキュリティアップデートを参照してください。

支払いページでのスクリプトの整合性の検証に関する PCI 4.0 要件に準拠するために、Subresource Integrity （SRI）のサポートを追加 しました。 サブリソースの整合性（SRI）のサポートは、ローカルファイルシステムに存在するすべてのJavaScript アセットの整合性ハッシュを提供します。 デフォルトの SRI 機能は、管理エリアとストアフロントエリアの支払いページにのみ実装されています。 ただし、マーチャントは、デフォルトの設定を他のページに拡張できます。 詳しくは、Commerce PHP 開発者ガイドの サブリソースの整合性を参照してください.

コンテンツセキュリティポリシー（CSP）の変更 - PCI 4.0 の要件に準拠するためのAdobe Commerce コンテンツセキュリティポリシー（CSP）の設定の更新と機能強化。 詳しくは、Commerce PHP 開発者ガイドの コンテンツセキュリティポリシーを参照してください。

• Commerce管理エリアとストアフロントエリアの支払いページ用のデフォルトの CSP 設定が restrict モードになりました。 その他のすべてのページでは、デフォルト設定は report-only モードです。 2.4.7 より前のリリースでは、CSP はすべてのページに対して report-only モードで設定されていました。

• CSP でインラインスクリプトの実行を許可する nonce プロバイダーを追加しました。 nonce プロバイダーは、各リクエストに対して一意の nonce 文字列を容易に生成できるようにします。 その後、文字列が CSP ヘッダーにアタッチされます。

• 管理の注文を作成ページとストアフロントのチェックアウトページの CSP 違反をレポートするカスタム URI を設定するオプションを追加しました。 設定を追加するには、管理者から、または URI を config.xml ファイルに追加します。

  note note
  NOTE
  CSP 設定を restrict モードに更新すると、管理およびストアフロントの支払いページで既存のインラインスクリプトがブロックされる可能性があり、ページの読み込み時に次のブラウザーエラーが発生します。Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 許可リスト設定を更新して、必要なスクリプトを許可することで、これらのエラーを修正します。 2}Commerce PHP 開発者ガイドトラブルシューティング を参照してください。

生成されないキャッシュキーの動作の変更:

• ブロックの生成されないキャッシュキーに、自動的に生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 （生成されないキャッシュキーは、テンプレートディレクティブ構文または setCacheKey または setData メソッドで設定されるキーです）。
• ブロックの生成されないキャッシュキーには、文字、数字、ハイフン（–）、アンダースコア（_）のみを含める必要があります。

自動生成されたクーポンコード数の制限。 Commerceでは、自動生成されるクーポンコードの数を制限するようになりました。 デフォルトの最大値は 250,000 です。 マーチャントは、新しい Code Quantity Limit 設定オプション（Stores/Settings:Configuration/Customers/Promotions）を使用して、この新しい制限を制御できます。

Varnish cache 7.3 のサポート。 このリリースは、最新バージョンの Varnish Cache 7.3 と互換性があります。6.0.x および 7.2.x バージョンとの互換性は維持されますが、Adobe Commerce 2.4.5-p3 は Varnish Cache バージョン 7.3 またはバージョン 6.0 LTS でのみ使用することをお勧めします。

RabbitMQ 3.11 サポート。 このリリースは最新バージョンのRabbitMQ 3.11 と互換性があります。互換性はRabbitMQ 3.9 に残っており、2023 年 8 月までサポートされますが、Adobe Commerce 2.4.5-p3 はRabbitMQ 3.11 でのみ使用することをお勧めします。

JavaScript ライブラリ。 古いJavaScript ライブラリは、moment.js ライブラリ（v2.29.4）、jQuery UI ライブラリ（v1.13.2）、jQuery validation プラグインライブラリ（v1.19.5）など、最新のマイナーバージョンまたはパッチバージョンにアップグレードされています。