Adobe Commerce 2.4.7 セキュリティパッチのリリースノート
これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。
- セキュリティバグの修正
- セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
- 既知の問題
- 必要に応じて追加のパッチを適用する手順
- リリースに含まれるホットフィックスに関する情報
セキュリティパッチリリースについて詳しくは、以下を参照してください。
- Adobe Commerce セキュリティパッチリリースの概要
- セキュリティパッチリリースのダウンロードと適用の手順については、2}Adobe Commerce ナレッジベースのセキュリティパッチの取得と適用方法を参照してください 。
2.4.7-p6
Adobe Commerce 2.4.7-p6 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-50 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
MariaDB サポート - MariaDB 10.11 のサポートを追加しました。
-
API パフォーマンスの強化 – 以前のセキュリティパッチの後に導入された一括非同期 web API エンドポイントのパフォーマンス低下を解決します。
-
CMS ブロックのアクセス修正 – 権限が制限された管理者ユーザー(マーチャンダイジングのみのアクセスなど)が CMS Blocks リストページを表示できない問題を解決します。
以前は、以前のセキュリティパッチをインストールした後に設定パラメーターが見つからないために、これらのユーザーにエラーが発生していました。
-
Cookie 制限互換性 - フレームワーク内の
MAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新により、期待される動作が復元され、cookie の制限とやり取りする拡張機能やカスタマイズの互換性が確保されます。 -
非同期操作 – 以前の顧客の注文を上書きするための制限付きの非同期操作。
2.4.7-p5
Adobe Commerce 2.4.7-p5 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-26 を参照してください。
ハイライト
System/Support/Data Collector サポートツールが削除され、不正アクセスが防止され、プラットフォームセキュリティが強化されました。
このリリースでは、Adobe CommerceHIPAA 対応の拡張機能のサポートも導入されています。
既知の問題
問題:2.4.7-p5 を PHP 8.2 以降と共にインストールする場合、システムは 2.4.8 以降を対象 paypal/module-braintree したバージョン 4.7.0 をインストールします。 PHP 8.1 では、正しいBraintreeのバージョン 4.6.1-p5 が使用されます。 この不一致は、メタパッケージの adobe-commerce/extensions-metapackage: ~2.0 への依存が緩いために発生します。 これは、PHP 8.2 以降のデプロイメントの互換性およびサポートされる機能セットに影響します。
また、バージョン 2.4.7-p3、2.4.7-p4、2.4.7-p5 では、Braintree拡張機能バージョン 4.6.1-p5 がインストールされる場合がありますが、以前は厳格な依存関係が緩和されてリリースライン内での拡張機能のアップグレードが可能であったことから、一部のユーザーは 4.6.1-p3 または p4 を想定しています。
回避策:使用している PHP バージョンに適したBraintreeのバージョンが存在することを確認するには、composer update を実行して、adobe-commerce/extensions-metapackage:2.0.0 の依存関係に従って適切なバージョンをインストールします。
2.4.7-p4
Adobe Commerce 2.4.7-p4 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-08 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
暗号化キーの管理とデータの再暗号化:操作性を向上させ、以前の制限やバグを排除するために設計し直された暗号化キーの管理
新しい CLI コマンドが、キーと 再暗号化、特定のシステム構成、支払い 🔗 カスタムフィールドのデータに対して 変更」、「」で使用できるようになりました。 管理 UI でのキーの変更は、このリリースではサポートされなくなりました。 CLI コマンドを使用する必要があります。
-
CVE-2025-24434🔗 の修正 認証の脆弱性を解決します。
この修正は、独立したパッチとしても使用できます。 詳しくは、 ナレッジベースの記事を参照してください。
2.4.7-p3
Adobe Commerce 2.4.7-p3 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB24-73 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3)を使用するようになりました。
-
TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました
-
TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。
-
Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
このリリースに含まれるホットフィックス
このリリースには、Braintree payment gateway の問題を解決するためのホットフィックスが含まれています。
Braintreeを支払い窓口として使用する場合、3DS VISA の委任要件を満たすために必要なフィールドが含まれるようになりました。 これにより、すべての取引が VISA によって設定された最新のセキュリティ標準に準拠するようになります。 以前は、これらの追加フィールドは送信された支払い情報に含まれていなかったので、新しい VISA 要件に準拠していない可能性がありました。
2.4.7-p2
Adobe Commerce 2.4.7-p2 セキュリティリリースは、2.4.7 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB24-61 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。
- 二要素認証の再試行制限
- 二要素認証ロックアウト時間(秒)
Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 設定リファレンスガイド の セキュリティ/2FA を参照してください。
-
暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。
-
CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。
-
CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。
このリリースに含まれるホットフィックス
このリリースには、次のホットフィックスが含まれています。
-
Google マップが PageBuilder エディターで正しくレンダリングされないJavaScript エラーを解決するためのホットフィックス。 詳しくは、Google マップの改訂版パッチのすべてのAdobe Commerce バージョンのアクセス損失ナレッジベース記事を参照してください。
-
CVE-2024-34102 に関連する JSON web トークン(JWT)検証の問題を解決するためのホットフィックス。 詳しくは、ナレッジベースの記事 Adobe Commerce-APSB24-40 用のセキュリティアップデートを参照してください。
2.4.7-p1
Adobe Commerce 2.4.7-p1 セキュリティリリースは、以前のリリースの 2.4.7 で特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB24-40 を参照してください。
CVE-2024-34102 のホットフィックスを適用する
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:
オプション 1:
オプション 2:
2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:
既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:
- 2024 年 7 月 17 日にリリースされた ホットフィックスを適用してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
Google Authenticator の ワンタイムパスワード (OTP)設定の更新– この更新は、 後方互換性のない変更2.4.7 で発生したエラーを解決するために必要です。OTP Window フィールドの説明で設定の正確な説明が提供されるようになり、デフォルト値は
1から29に変更されました。 -
B2B バージョンの互換性 - Commerce バージョン 2.4.7-p1 との互換性を確保するには、Adobe Commerce B2B 拡張機能を持つマーチャントが、B2B バージョン 1.4.2-p1 にアップグレードする必要があります。
このリリースに含まれるホットフィックス
Adobe Commerce 2.4.7-p1 では、SOAPから REST API への UPS 統合の移行の範囲で発生していた問題が修正されました。 この問題は、米国外に出荷するお客様に影響を与え、UPS を使用した出荷を作成するために、パッケージにキログラムとセンチメートルのメートル法/SI 測定を使用することを妨げました。 詳しくは、UPS 配送方法の統合によるSOAPから RESTful API への移行ナレッジベースの記事を参照してください。