ドキュメントCommerceリリース情報

[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト(Adobeが管理する PaaS インフラストラクチャ)およびオンプレミスプロジェクトにのみ適用されます。"}

Adobe Commerce 2.4.7 セキュリティパッチのリリースノート

Last update: Wed Apr 01 2026 00:00:00 GMT+0000 (Coordinated Universal Time)
  • トピック:

作成対象:

  • 経験者
  • 管理者
  • 開発者

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

  • セキュリティバグの修正
  • セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースについて詳しくは、以下を参照してください。

IMPORTANT
MySQL 8.0は、2026年4月30日からサポート終了(EOS)に到達します。
この日付に続いて、Adobe Commerce 2.4.7では互換性が提供されません。または
mysql 8.0以降にリリースされたMySQL バージョンをサポートします。Adobeでは
このAdobeの新しいMySQL メジャーバージョンの検証またはサポートの提供
Commerce リリースライン。
バージョン 2.4.7を実行しているすべてのAdobe Commerce オンプレミスのお客様は、以下の点に強く同意します。
データベースサーバーを互換性のあるMariaDB バージョンに移行することをお勧めします。

2.4.7-p9

Adobe Commerce 2.4.7-p9 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB26-05を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

DHL配送の統合のためのMyDHL REST API サポート

DHL出荷統合では、既存のDHL Express XML統合に加えて、MyDHL REST APIがサポートされるようになりました。 このアップデートはDHLの現在のAPI スタックに合っており、古いXML APIの廃止に備えています。

最新バージョンのComposerとの互換性の追加

Adobe Commerce 2.4.7が更新され、Composer 2.9.xがサポートされるようになりました。ただし、Composer 2.2 LTSとの互換性は維持されます。

2.4.7-p8

Adobe Commerce 2.4.7-p8 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-94を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

このリリースには、次のハイライトが含まれています。

  • CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、​ 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ​ ナレッジベースの記事を参照してください。

  • 開発者は、REST API コンストラクターパラメーターの検証 ​ を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。

  • TinyMCE から Hugerte.org への移行

    TinyMCE 5 および 6 のサポートが終了し、TinyMCE 7 との互換性がなくなったため、現在のAdobe Commerce WYSIWYG エディターの実装は、TinyMCE からオープンソースの HugeRTE エディター ​ に移行されています。

    この移行により、Adobe Commerceはオープンソースのライセンスに引き続き準拠し、既知の TinyMCE 6 の脆弱性を回避し、マーチャントやデベロッパー向けに最新のサポートされている編集機能を提供します。

  • Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加

    Simple Text Oriented Messaging Protocol (STOMP)を介した ActiveMQ Artemis オープンソースメッセージブローカーのサポートを追加しました。 信頼性と拡張性に優れたメッセージングシステムを提供し、STOMP ベースの統合に柔軟性を提供します。 2}Commerce Configuration Guide の {Apache ActiveMQ Artemis を参照してください。

既知の問題

チェックアウトページでstatic.min.jsとmixins.min.jsの読み込みに失敗する

JavaScriptのバンドルと縮小の両方が実稼働モードで有効になっている場合、CSP/SRI が最近変更された後、チェックアウトページで static.min.js と mixins.min.js が読み込まれません。 その結果、RequireJS mixin が実行されず、チェックアウトノックアウトテンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

回避策:

  • JavaScriptのバンドルを無効にする
  • JavaScriptのバンドルを有効にしたままにする場合は、JavaScriptの縮小を無効にします。
IMPORTANT
実稼動環境で CSP を無効にしたり、SRI 保護を削除したりしないでください。 プラグインレベルのバイパスは、ホットフィックスの最後の手段としてのみ使用してください。その際は、セキュリティチームのレビューを受ける必要があります。

ホットフィックス:

ホットフィックスが利用可能です。 パッチの詳細については、ナレッジベースの JS の縮小とバンドルが有効な場合にチェックアウトが失敗する ​ を参照してください。

2.4.7-p7

Adobe Commerce 2.4.7-p7 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-71を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

2.4.7-p6

Adobe Commerce 2.4.7-p6 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-50を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • MariaDB サポート - MariaDB 10.11のサポートを追加しました。

  • API パフォーマンスの向上 – 以前のセキュリティ パッチの後に導入された一括非同期web API エンドポイントのパフォーマンス低下を解決します。

  • CMS ブロック アクセス修正 – 制限された権限(マーチャンダイジング専用アクセスなど)を持つ管理者ユーザーがCMS Blocksの一覧ページを表示できなかった問題を解決します。

    以前は、以前のセキュリティ パッチをインストールした後、構成パラメーターが欠落しているため、これらのユーザーでエラーが発生していました。

  • Cookie制限の互換性 - フレームワークのMAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新プログラムは、期待される動作を復元し、cookieの制限と相互作用する拡張機能またはカスタマイズの互換性を確保します。

  • 非同期操作 – 以前の顧客の注文を上書きするための非同期操作が制限されています。

2.4.7-p5

Adobe Commerce 2.4.7-p5 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-26を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

System/Support/Data Collector サポートツールが削除され、不正アクセスが防止され、プラットフォームセキュリティが強化されました。

recommendation-more-help

このリリースでは、Adobe Commerce HIPAA対応拡張機能のサポートも導入されています。

style
shade-box

既知の問題

問題: 2.4.7-p5をPHP 8.2以降でインストールする場合、システムはpaypal/module-braintree バージョン 4.7.0をインストールします。これは、2.4.8以降を対象としています。 PHP 8.1では、正しいBraintree バージョン 4.6.1-p5が使用されます。 この不一致は、メタパッケージのadobe-commerce/extensions-metapackage: ~2.0への依存関係が緩いことが原因です。 これは、PHP 8.2以降のデプロイメントの互換性とサポートされている機能セットに影響します。

また、バージョン 2.4.7-p3、2.4.7-p4、および2.4.7-p5では、Braintree拡張機能バージョン 4.6.1-p5がインストールされる場合がありますが、一部のユーザーは、以前より厳格な依存関係が緩和され、リリースライン内で拡張機能をアップグレードできるようになったため、4.6.1-p3またはp4がインストールされることを期待しています。

回避策: PHPのバージョンに合った適切なBraintree バージョンを使用するには、composer updateを実行して、adobe-commerce/extensions-metapackage:2.0.0依存関係に従って適切なバージョンをインストールします。

2.4.7-p4

Adobe Commerce 2.4.7-p4 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-08を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • 暗号化キーの管理とデータの再暗号化:操作性を向上させ、以前の制限やバグを排除するために設計し直された暗号化キーの管理

    新しい CLI コマンドが、キーと ​ 再暗号化 ​、特定のシステム構成、支払い ​ カスタムフィールドのデータに対して ​ 変更」、「」で使用できるようになりました。 管理 UI でのキーの変更は、このリリースではサポートされなくなりました。 CLI コマンドを使用する必要があります。

  • CVE-2025-24434🔗 の修正 認証の脆弱性を解決します。

    この修正は、独立したパッチとしても使用できます。 詳しくは、​ ナレッジベースの記事 ​ を参照してください。

  • TinyMCE バージョン ダウングレード:TinyMCE の依存関係は、ライセンス互換性の問題に対処するために、バージョン 7 から 6.8.5 にダウングレードされました。

    この変更により、Adobeが代替のオープンソース WYSIWYG エディターを評価する際に、継続的なコンプライアンスが確保されます。

2.4.7-p3

Adobe Commerce 2.4.7-p3 セキュリティリリースには、以前のリリース 2.4.7で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-73を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • TinyMCE のアップグレード - Admin の WYSIWYG Editor は、最新バージョンの TinyMCE 依存関係(7.3​)を使用するようになりました。

    • TinyMCE 7.3 は、ユーザーエクスペリエンスの向上、コラボレーションの強化、効率の向上を実現します。 TinyMCE 5 は 2.4.8 リリース行で削除されました​

    • TinyMCE 5.10 で報告されているセキュリティの脆弱性(CVE-2024-38357)があるため、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js のアップグレード - Adobe Commerceで最新バージョンの Require.js (2.3.7)が使用されるようになりました。

    • Require.js 2.3.6 でセキュリティの脆弱性(CVE-2024-38999)が報告されていたので、依存関係も、現在サポートされているすべてのリリースラインでアップグレードされ、2024 年 10 月のすべてのセキュリティパッチに含まれていました。

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
これらのアップデートは後方互換性があるため、カスタマイズや拡張機能には影響しません​

このリリースに含まれるホットフィックス

このリリースには、Braintree payment gateway の問題を解決するためのホットフィックスが含まれています。

Braintreeを支払い窓口として使用する場合、3DS VISA の委任要件を満たすために必要なフィールドが含まれるようになりました。 これにより、すべての取引が VISA によって設定された最新のセキュリティ標準に準拠するようになります。 以前は、これらの追加フィールドは送信された支払い情報に含まれていなかったので、新しい VISA 要件に準拠していない可能性がありました。

2.4.7-p2

Adobe Commerce 2.4.7-p2のセキュリティリリースには、以前のリリースの2.4.7で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-61を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • one-time passwords のレート制限:two-factor authentication (2FA) one-time password (OTP) の検証でレート制限を有効にするために、次の新しいシステム構成オプションが利用可能になりました。

    • 二要素認証の再試行制限
    • 二要素認証ロックアウト時間(秒)

    Adobeでは、ブルートフォース攻撃を軽減するための再試行回数を制限するために、2FA OTP 検証のしきい値を設定することをお勧めします。 詳しくは、『 ​ 設定リファレンスガイド ​セキュリティ/2FA を参照してください。

  • 暗号化キーのローテーション:新しい CLI コマンドを使用して暗号化キーを変更できるようになりました。 詳しくは、​ 暗号化キーのローテーションのトラブルシューティング:CVE-2024-34102 ナレッジベースの記事を参照してください。

  • CVE-2020-27511 の修正 – Prototype.js セキュリティの脆弱性を解決します。

  • CVE-2024-39397🔗 の修正 リモートコード実行セキュリティの脆弱性を解決します。 この脆弱性は、オンプレミスまたはセルフホスト型のデプロイメントに Apache web サーバーを使用しているマーチャントに影響します。 この修正は、独立したパッチとしても使用できます。 詳しくは、Adobe Commerceで利用可能なセキュリティ更新 – APSB24-61 ナレッジベースの記事を参照してください。

このリリースに含まれるホットフィックス

このリリースには、次のホットフィックスが含まれています。

2.4.7-p1

Adobe Commerce 2.4.7-p1 セキュリティリリースでは、以前のリリースの2.4.7で特定された脆弱性に対するセキュリティバグ修正が提供されています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB24-40を参照してください。

CVE-2024-34102のホットフィックスを適用する

IMPORTANT
これは、CVE-2024-34102 に関する前回のお知らせの緊急の更新です。 Adobeは、CVE-2024-34102 がAdobe Commerceのマーチャントを対象とした非常に限られた攻撃で悪用されていることを認識しています。 脆弱性を解決していない場合は、直ちに対策を講じてください。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを適用していないお客様の場合:

オプション 1:

  1. 2024 年 6 月 11 日(PT)にリリースされたセキュリティパッチの 1 つを適用します。

  2. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

  3. ​ 回転 ​ 暗号化キー。

オプション 2:

  1. ​ 分離パッチ ​ を適用します。

  2. ​ 回転 ​ 暗号化キー。

2024 年 6 月 11 日にリリースされたセキュリティパッチまたは 2024 年 6 月 28 日にリリースされた分離パッチを既に適用しているお客様の場合:

  1. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

  2. ​ 回転 ​ 暗号化キー。

既に 1 の場合) 2024 年 6 月 11 日にリリースされたセキュリティパッチを適用した場合、または 2 の場合) 2024 年 6 月 28 日にリリースされた分離パッチ、および 3 の場合)暗号化キーをローテーションした場合:

  1. 2024 年 7 月 17 日にリリースされた ​ ホットフィックス ​ を適用してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • Google Authenticator ワンタイムパスワード(OTP)設定​を更新します。この更新は、2.4.7の後方互換性のない変更によって発生したエラーを解決するために必要です。OTP Window フィールドの説明で、設定の正確な説明が得られるようになり、デフォルト値が1から29に変更されました。

  • B2B バージョンの互換性 - Commerce バージョン 2.4.7-p1との互換性を保つために、Adobe Commerce B2B拡張機能を持つマーチャントは、B2B バージョン 1.4.2-p1にアップグレードする必要があります。

このリリースに含まれるホットフィックス

Adobe Commerce 2.4.7-p1は、SOAPからREST APIへのUPS統合の移行範囲で発生した問題を解決します。 この問題は、米国外に出荷するお客様に影響を及ぼし、UPSで出荷を作成するパッケージに対してメトリックシステム/SI測定(kgとcm)を使用できないようにしました。 詳しくは、UPS shipping method integration migration from SOAP to RESTful APIのナレッジベース記事を参照してください。

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f