ドキュメントCommerceリリース情報

[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト(Adobeが管理する PaaS インフラストラクチャ)およびオンプレミスプロジェクトにのみ適用されます。"}

Adobe Commerce 2.4.6 セキュリティパッチのリリースノート

Last update: Wed Apr 01 2026 00:00:00 GMT+0000 (Coordinated Universal Time)
  • トピック:

作成対象:

  • 経験者
  • 管理者
  • 開発者

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

  • セキュリティバグの修正
  • セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースについて詳しくは、以下を参照してください。

IMPORTANT
MySQL 8.0は、2026年4月30日からサポート終了(EOS)に到達します。
この日付に続いて、Adobe Commerce 2.4.6では互換性が提供されません。または
mysql 8.0以降にリリースされたMySQL バージョンをサポートします。Adobeでは
このAdobeの新しいMySQL メジャーバージョンの検証またはサポートの提供
Commerce リリースライン。
バージョン 2.4.6を実行しているすべてのAdobe Commerce オンプレミスのお客様は、以下の点に強く同意します。
データベースサーバーを互換性のあるMariaDB バージョンに移行することをお勧めします。

2.4.6-p14

Adobe Commerce 2.4.6-p14のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB26-05を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

2.4.7からの修正をバックポートするためのPHPUnit アップグレードサポート

Adobe Commerce 2.4.6は、セキュア PHPUnit リリースで必要なsebastian/comparator ライブラリの新しいバージョンで実行できることが検証されました。 このレビューの一環として、Adobeでは、以前はパッチを適用したPHPUnit バージョンへのアップグレードを制限していた依存関係の制約を評価しました。

お客様は、コンポーザーの要件を調整して、安全なリリースにPHPUnitを安全に更新できるようになりました(例:sebastian/comparator:^4.0)。 このアップデートは、Adobe Commerce 2.4.6の機能や想定される動作には影響しません。

DHL配送の統合のためのMyDHL REST API サポート

DHL出荷統合では、既存のDHL Express XML統合に加えて、MyDHL REST APIがサポートされるようになりました。 このアップデートはDHLの現在のAPI スタックに合っており、古いXML APIの廃止に備えています。

2.4.6-p13

Adobe Commerce 2.4.6-p13のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-94を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、​ 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ​ ナレッジベースの記事を参照してください。

  • 開発者は、REST API コンストラクターパラメーターの検証 ​ を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。

  • TinyMCE から Hugerte.org への移行

    TinyMCE 5 および 6 のサポートが終了し、TinyMCE 7 との互換性がなくなったため、現在のAdobe Commerce WYSIWYG エディターの実装は、TinyMCE からオープンソースの HugeRTE エディター ​ に移行されています。

    この移行により、Adobe Commerceはオープンソースのライセンスに引き続き準拠し、既知の TinyMCE 6 の脆弱性を回避し、マーチャントやデベロッパー向けに最新のサポートされている編集機能を提供します。

  • Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加

    Simple Text Oriented Messaging Protocol (STOMP)を介した ActiveMQ Artemis オープンソースメッセージブローカーのサポートを追加しました。 信頼性と拡張性に優れたメッセージングシステムを提供し、STOMP ベースの統合に柔軟性を提供します。 2}Commerce Configuration Guide の {Apache ActiveMQ Artemis を参照してください。

既知の問題

Inventory Composer インストーラーパッケージがありません

このバージョンには、magento/inventory-composer-installer パッケージは含まれていません。これは、後方互換性のない変更を加えた古いマイナーバージョンからスムーズにアップグレードするために必要です。

2.3から2.4.6-p13にアップグレードする場合は、アップグレードする前に次のコマンドを実行してmagento/inventory-composer-installer パッケージをインストールします。

composer require magento/inventory-composer-installer

チェックアウトページでstatic.min.jsとmixins.min.jsの読み込みに失敗する

JavaScriptのバンドルと縮小の両方が実稼働モードで有効になっている場合、CSP/SRI が最近変更された後、チェックアウトページで static.min.js と mixins.min.js が読み込まれません。 その結果、RequireJS mixin が実行されず、チェックアウトノックアウトテンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

回避策:

  • JavaScriptのバンドルを無効にする
  • JavaScriptのバンドルを有効にしたままにする場合は、JavaScriptの縮小を無効にします。
IMPORTANT
実稼動環境で CSP を無効にしたり、SRI 保護を削除したりしないでください。 プラグインレベルのバイパスは、ホットフィックスの最後の手段としてのみ使用してください。その際は、セキュリティチームのレビューを受ける必要があります。

ホットフィックス:

ホットフィックスが利用可能です。 パッチの詳細については、ナレッジベースの JS の縮小とバンドルが有効な場合にチェックアウトが失敗する ​ を参照してください。

2.4.6-p12

Adobe Commerce 2.4.6-p12のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-71を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

2.4.6-p11

Adobe Commerce 2.4.6-p11 セキュリティリリースでは、以前のリリース 2.4.6で特定された脆弱性に対するセキュリティバグの修正が行われています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-50を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • MariaDB サポート - MariaDB 10.11のサポートを追加しました。

  • API パフォーマンスの向上 – 以前のセキュリティ パッチの後に導入された一括非同期web API エンドポイントのパフォーマンス低下を解決します。

  • CMS ブロック アクセス修正 – 制限された権限(マーチャンダイジング専用アクセスなど)を持つ管理者ユーザーがCMS Blocksの一覧ページを表示できなかった問題を解決します。

    以前は、以前のセキュリティ パッチをインストールした後、構成パラメーターが欠落しているため、これらのユーザーでエラーが発生していました。

  • Cookie制限の互換性 - フレームワークのMAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新プログラムは、期待される動作を復元し、cookieの制限と相互作用する拡張機能またはカスタマイズの互換性を確保します。

  • 非同期操作 – 以前の顧客の注文を上書きするための非同期操作が制限されています。

2.4.6-p10

Adobe Commerce 2.4.6-p10のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-26を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

System/Support/Data Collector サポートツールが削除され、不正アクセスが防止され、プラットフォームセキュリティが強化されました。

2.4.6-p9

Adobe Commerce 2.4.6-p9のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-08を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • 暗号化キーの管理とデータの再暗号化:操作性を向上させ、以前の制限やバグを排除するために設計し直された暗号化キーの管理

    新しい CLI コマンドが、キーと ​ 再暗号化 ​、特定のシステム構成、支払い ​ カスタムフィールドのデータに対して ​ 変更」、「」で使用できるようになりました。 管理 UI でのキーの変更は、このリリースではサポートされなくなりました。 CLI コマンドを使用する必要があります。

  • CVE-2025-24434🔗 の修正 認証の脆弱性を解決します。

    この修正は、独立したパッチとしても使用できます。 詳しくは、​ ナレッジベースの記事 ​ を参照してください。

  • TinyMCE バージョン ダウングレード:TinyMCE の依存関係は、ライセンス互換性の問題に対処するために、バージョン 7 から 6.8.5 にダウングレードされました。

    この変更により、Adobeが代替のオープンソース WYSIWYG エディターを評価する際に、継続的なコンプライアンスが確保されます。

2.4.6-p8

Adobe Commerce 2.4.6-p8 セキュリティリリースには、以前のリリース 2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-73を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3​)を使用するようになりました。

    • TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました​

    • TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。

    • Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
これらのアップデートは後方互換性があるため、カスタマイズや拡張機能には影響しません​

このリリースに含まれるホットフィックス

このリリースには、Braintree payment gateway の問題を解決するためのホットフィックスが含まれています。

Braintreeを支払い窓口として使用する場合、3DS VISA の委任要件を満たすために必要なフィールドが含まれるようになりました。 これにより、すべての取引が VISA によって設定された最新のセキュリティ標準に準拠するようになります。 以前は、これらの追加フィールドは送信された支払い情報に含まれていなかったので、新しい VISA 要件に準拠していない可能性がありました。

2.4.6-p7

Adobe Commerce 2.4.6-p7 セキュリティリリースには、以前のリリース 2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-61を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。

    • 二要素認証の再試行制限
    • 二要素認証ロックアウト時間(秒)

    Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 ​ 設定リファレンスガイド ​セキュリティ/2FA を参照してください。

  • 暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、​ 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。

  • CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。

  • CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。

このリリースに含まれるホットフィックス

このリリースには、次のホットフィックスが含まれています。

2.4.6-p6

Adobe Commerce 2.4.6-p6のセキュリティリリースには、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-40を参照してください。

Commerce バージョン 2.4.6-p6との互換性を保つために、Adobe Commerce B2B拡張機能を持つマーチャントはB2B バージョン 1.4.2-p1にアップグレードする必要があります。

CVE-2024-34102のホットフィックスを適用する

IMPORTANT
これは、CVE-2024-34102 に関する前回のお知らせの緊急の更新です。 Adobeは、CVE-2024-34102 がAdobe Commerceのマーチャントを対象とした非常に限られた攻撃で悪用されていることを認識しています。 脆弱性を解決していない場合は、直ちに対策を講じてください。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:

オプション 1:

  1. 2024 年 6 月 11 日(PT)にリリースされたセキュリティパッチの 1 つを適用します。

  2. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

  3. ​ 回転 ​ 暗号化キー。

オプション 2:

  1. ​ 分離パッチ ​ を適用します。

  2. ​ 回転 ​ 暗号化キー。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:

  1. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

  2. ​ 回転 ​ 暗号化キー。

既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:

  1. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

Commerce バージョン 2.4.6-p6との互換性を保つために、Adobe Commerce B2B拡張機能を持つマーチャントはB2B バージョン 1.4.2-p1にアップグレードする必要があります。

ハイライト

  • 支払いページでのスクリプトの整合性の検証に関する PCI 4.0 要件に準拠するために、Subresource Integrity (SRI)のサポートを追加 しました。 サブリソースの整合性(SRI)のサポートは、ローカルファイルシステムに存在するすべてのJavaScript アセットの整合性ハッシュを提供します。 デフォルトの SRI 機能は、管理エリアとストアフロントエリアの支払いページにのみ実装されています。 ただし、マーチャントは、デフォルトの設定を他のページに拡張できます。 詳しくは、Commerce PHP 開発者ガイドの ​ サブリソースの整合性 を参照してください.

  • コンテンツセキュリティポリシー(CSP)の変更 - PCI 4.0 の要件に準拠するためのAdobe Commerce コンテンツセキュリティポリシー(CSP)の設定の更新と機能強化。 詳しくは、Commerce PHP 開発者ガイドの ​ コンテンツセキュリティポリシー を参照してください。

    • Commerce管理エリアとストアフロントエリアの支払いページ用のデフォルトの CSP 設定が restrict モードになりました。 その他のすべてのページでは、デフォルト設定は report-only モードです。 2.4.7 より前のリリースでは、CSP はすべてのページに対して report-only モードで設定されていました。

    • CSP でインラインスクリプトの実行を許可する nonce プロバイダーを追加しました。 nonce プロバイダーは、各リクエストに対して一意の nonce 文字列を容易に生成できるようにします。 その後、文字列が CSP ヘッダーにアタッチされます。

    • 管理の注文を作成ページとストアフロントのチェックアウトページの CSP 違反をレポートするカスタム URI を設定するオプションを追加しました。 設定を追加するには、管理者から、または URI を config.xml ファイルに追加します。

      note note
      NOTE
      CSP 設定を restrict モードに更新すると、管理およびストアフロントの支払いページで既存のインラインスクリプトがブロックされる可能性があり、ページの読み込み時に次のブラウザーエラーが発生します。Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 許可リスト設定を更新して、必要なスクリプトを許可することで、これらのエラーを修正します。 2}Commerce PHP 開発者ガイド ​ トラブルシューティング を参照してください。

2.4.6-p5

Adobe Commerce 2.4.6-p5 セキュリティリリースでは、以前のリリースの2.4.6で特定された脆弱性に対するセキュリティバグ修正が提供されています。

これらの修正に関する最新情報については、Adobe セキュリティ情報APSB24-18を参照してください。

2.4.6-p4

Adobe Commerce 2.4.6-p4 セキュリティリリースには、以前のリリースで特定された脆弱性に対するセキュリティバグ修正が含まれています。 このリリースには、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させるセキュリティの機能強化も含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-03を参照してください。

ハイライト

このリリースでは、次の2つの重要なセキュリティ機能強化が導入されています。

  • 生成されていないキャッシュキーの動作に変更が加えられました:

    • ブロックの非生成キャッシュキーに、自動生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 (生成されないキャッシュキーは、テンプレートディレクティブ構文またはsetCacheKeyまたはsetData メソッドを使用して設定されるキーです)。
    • ブロックの生成されないキャッシュキーには、文字、数字、ハイフン( – )、アンダースコア(_)のみを含める必要があります。

  • 自動生成されるクーポンコード数の制限。 Commerceでは、自動生成されるクーポンコードの数が制限されるようになりました。 デフォルトの最大値は250,000です。 マーチャントは、新しい​ Code Quantity Limit ​設定オプション(Stores > Settings:Configuration > Customers > Promotions)を使用して、この新しい制限を制御できます。

2.4.6-p3

Adobe Commerce 2.4.6-p3 セキュリティリリースには、以前のリリースで特定された脆弱性に対するセキュリティバグの修正が含まれています。 このリリースには、最新のセキュリティのベストプラクティスに準拠するためのセキュリティの強化も含まれています。

セキュリティ修正に関する最新情報については、Adobe セキュリティ情報APSB23-50を参照してください。

ハイライト

このリリースでは、{BASE-URL}/page_cache/block/esi HTTP エンドポイントに関連するリスクを軽減するのに役立つ、新しいフルページキャッシュ設定設定が導入されました。 このエンドポイントは、Commerceのレイアウトハンドルとブロック構造から無制限に動的に読み込まれるコンテンツフラグメントをサポートしています。 新しい​ Handles Param ​構成設定では、このエンドポイントのhandles パラメーターの値が設定され、APIごとに許可されるハンドルの最大数が決定されます。 このプロパティのデフォルト値は100です。 マーチャントは、管理者(Stores > Settings:Configuration > System > Full Page Cache > Handles Param)からこの値を変更できます。

このリリースに含まれるホットフィックス

Adobe Commerce 2.4.6-p3には、パッチ ACSD-51892で修正されたパフォーマンス低下の解決策が含まれています。 このパッチで解決された問題は、マーチャントには影響しません。詳しくは、ACSD-51892:設定ファイルが複数回ロードされるパフォーマンスの問題 ナレッジベース記事を参照してください。

既知の問題

問題: Composerによるwrong checksumからのダウンロード中にrepo.magento.com エラーがAdobe Commerceに表示され、パッケージのダウンロードが中断されます。 この問題は、プレリリース期間中に利用可能になったリリースパッケージのダウンロード中に発生する可能性があり、magento/module-page-cache パッケージの再パッケージが原因で発生します。

回避策:ダウンロード中にこのエラーが表示されるマーチャントは、次の手順を実行できます。

  1. プロジェクト内の/vendor ディレクトリが存在する場合は、そのディレクトリを削除します。
  2. bin/magento composer update magento/module-page-cache コマンドを実行します。 このコマンドは、page cache パッケージのみを更新します。

チェックサムの問題が解決しない場合は、composer.lock コマンドを再実行してすべてのパッケージを更新する前に、bin/magento composer update ファイルを削除してください。

2.4.6-p2

Adobe Commerce 2.4.6-p2 セキュリティリリースには、以前のリリースで特定された脆弱性に対するセキュリティバグ修正が含まれています。 このリリースでは、最新のセキュリティのベストプラクティスに準拠するためのセキュリティの機能強化も提供されます。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB23-42を参照してください。

CVE-2022-31160のホットフィックスを適用する

jQuery-UI ライブラリ バージョン 1.13.1には、Adobe CommerceとMagento Open Sourceの複数のバージョンに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceおよびMagento Open Source 2.4.4、2.4.5、および2.4.6の依存関係です。影響を受けるデプロイメントを実行しているマーチャントは、ナレッジベース記事「jQuery UI セキュリティ脆弱性CVE-2022-31160修正プログラム(2.4.4、2.4.5、2.4.6 リリース ​)を適用する必要があります。

ハイライト

fastcgi_pass ファイルのnginx.sampleの値が、以前の(2.4.6-p1以前)値fastcgi_backendに戻されました。 この値は、Adobe Commerce 2.4.6-p1で誤ってphp-fpm:9000に変更されました。

このリリースに含まれるホットフィックス

Adobe Commerce 2.4.6-p2には、ACSD-51892 パッチで解決されたパフォーマンス低下の解決策が含まれています。 このパッチで解決された問題は、マーチャントには影響しません。詳しくは、ACSD-51892:設定ファイルが複数回ロードされるパフォーマンスの問題 ナレッジベース記事を参照してください。

2.4.6-p1

Adobe Commerce 2.4.6-p1 セキュリティリリースには、以前のリリースで特定された脆弱性に対するセキュリティバグの修正が含まれています。 このリリースには、最新のセキュリティのベストプラクティスに準拠するために、セキュリティの強化とプラットフォームのアップグレードも含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB23-35を参照してください。

CVE-2022-31160のホットフィックスを適用する

jQuery-UI ライブラリ バージョン 1.13.1には、Adobe CommerceとMagento Open Sourceの複数のバージョンに影響する既知のセキュリティ脆弱性(CVE-2022-31160)があります。 このライブラリは、Adobe CommerceおよびMagento Open Source 2.4.4、2.4.5、および2.4.6の依存関係です。影響を受けるデプロイメントを実行している販売者は、ナレッジベース記事Query UI セキュリティ脆弱性CVE-2022-31160で指定されたパッチを、2.4.4、2.4.5、および2.4.6 リリース ​に適用する必要があります。

ハイライト

isEmailAvailable GraphQL クエリと(V1/customers/isEmailAvailable) REST エンドポイントの既定の動作が変更されました。 デフォルトでは、APIは常にtrueを返すようになりました。 マーチャントは元の動作を有効にできます。つまり、メールがデータベースに存在しない場合はtrue、存在する場合はfalseを返します。

プラットフォームのアップグレード

このリリースのプラットフォームのアップグレードは、最新のセキュリティのベストプラクティスへのコンプライアンスを向上させます。

  • Varnish キャッシュ 7.3 サポート。 このリリースは、最新バージョンのVarnish Cache 7.3と互換性があります。互換性は6.0.xおよび7.2.x バージョンで維持されますが、Adobeでは、Varnish Cache バージョン 7.3またはバージョン 6.0 LTSでのみAdobe Commerce 2.4.6-p1を使用することをお勧めします。

  • RabbitMQ 3.11 サポート。 このリリースは、最新バージョンのRabbitMQ 3.11と互換性があります。互換性は2023年8月までサポートされているRabbitMQ 3.9で維持されますが、AdobeではRabbitMQ 3.11でのみAdobe Commerce 2.4.6-p1を使用することをお勧めします。

  • JavaScript ライブラリ。 古いJavaScript ライブラリは、moment.js ライブラリ (v2.29.4)、jQuery UI ライブラリ (v1.13.2)、jQuery検証プラグインライブラリ (v1.19.5)など、最新のマイナーバージョンまたはパッチバージョンにアップグレードされました。

既知の問題

  • nginx.sample ファイルが誤って更新され、fastcgi_passの値がfastcgi_backendからphp-fpm:9000に変更されました。 この変更は安全に元に戻されるか、無視されます。

  • B2B セキュリティパッケージの依存関係が見つからない場合、B2B拡張機能を1.4.0にインストールまたはアップグレードする際に、次のインストールエラーが発生します。

    code language-none 
    Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

    この問題は、安定性タグ ​を持つB2B セキュリティパッケージの手動の依存関係を追加することで解決できます。 詳しくは、B2B リリースノート ​を参照してください。

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f