ドキュメントCommerceリリース情報

[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト(Adobeが管理する PaaS インフラストラクチャ)およびオンプレミスプロジェクトにのみ適用されます。"}

Adobe Commerce 2.4.8 セキュリティパッチのリリースノート

Last update: Sat Oct 25 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • トピック:

作成対象:

  • 経験者
  • 管理者
  • 開発者

これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。

  • セキュリティバグの修正
  • セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースについて詳しくは、以下を参照してください。

2.4.8-p3

Adobe Commerce 2.4.8-p3 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-94 を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、​ 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ​ ナレッジベースの記事を参照してください。

  • 開発者は、REST API コンストラクターパラメーターの検証 ​ を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。

  • ACP2E-3874 の修正:複数の同じ項目が注文された場合に、注文の詳細に対する REST API 応答に、base_row_total 属性と row_total 属性の正しい値が含まれるようになりました。

  • AC-15446 の修正:Magento\Framework\Mail\EmailMessagegetBodyText() に存在しない getTextBody() メソッドを呼び出そうとした Symfony\Component\Mime\Message のエラーを修正して、Magento 2.4.8-p2 および magento/framework 103.0.8-p2 との互換性を確保しました。

  • TinyMCE から Hugerte.org への移行

    TinyMCE 5 および 6 のサポートが終了し、TinyMCE 7 との互換性がなくなったため、現在のAdobe Commerce WYSIWYG エディターの実装は、TinyMCE からオープンソースの HugeRTE エディター ​ に移行されています。

    この移行により、Adobe Commerceはオープンソースのライセンスに引き続き準拠し、既知の TinyMCE 6 の脆弱性を回避し、マーチャントやデベロッパー向けに最新のサポートされている編集機能を提供します。

  • Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加

    Simple Text Oriented Messaging Protocol (STOMP)を介した ActiveMQ Artemis オープンソースメッセージブローカーのサポートを追加しました。 信頼性と拡張性に優れたメッセージングシステムを提供し、STOMP ベースの統合に柔軟性を提供します。 2}Commerce Configuration Guide の {Apache ActiveMQ Artemis を参照してください。

既知の問題

チェックアウトページで static.min.js と mixins.min.js の読み込みに失敗する

JavaScriptのバンドルと縮小の両方が実稼働モードで有効になっている場合、CSP/SRI が最近変更された後、チェックアウトページで static.min.js と mixins.min.js が読み込まれません。 その結果、RequireJS mixin が実行されず、チェックアウトノックアウトテンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

回避策:

  • JavaScriptのバンドルを無効にする
  • JavaScriptのバンドルを有効にしたままにする場合は、JavaScriptの縮小を無効にします。
IMPORTANT
実稼動環境で CSP を無効にしたり、SRI 保護を削除したりしないでください。 プラグインレベルのバイパスは、ホットフィックスの最後の手段としてのみ使用してください。その際は、セキュリティチームのレビューを受ける必要があります。

ホットフィックス:

この問題に対処するホットフィックスが、できるだけ早くリリースされます。 詳しくは、このリリースノートページを監視してください。

2.4.8-p2

Adobe Commerce 2.4.8-p2 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-71 を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

2.4.8-p1

Adobe Commerce 2.4.8-p1 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。

セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-50 を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントも、互換性のある最新の B2B セキュリティパッチリリースに更新する必要があります。 B2B リリースノート ​ を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • API パフォーマンスの強化 – 以前のセキュリティパッチの後に導入された一括非同期 web API エンドポイントのパフォーマンス低下を解決します。

  • CMS ブロックのアクセス修正 – 権限が制限された管理者ユーザー(マーチャンダイジングのみのアクセスなど)が CMS Blocks リストページを表示できない問題を解決します。

    以前は、以前のセキュリティパッチをインストールした後に設定パラメーターが見つからないために、これらのユーザーにエラーが発生していました。

  • Cookie 制限互換性 - フレームワーク内の MAX_NUM_COOKIES 定数に関する後方互換性のない変更を解決します。 この更新により、期待される動作が復元され、cookie の制限とやり取りする拡張機能やカスタマイズの互換性が確保されます。

  • 非同期操作 – 以前の顧客の注文を上書きするための制限付きの非同期操作。

  • CVE-2025-47110 の修正 – メールテンプレートの脆弱性を解決

  • VULN-31547 の修正 – カテゴリの正規リンクの脆弱性を解決します。

recommendation-more-help

CVE-2025-47110 および VULN-31547 の修正も、独立したパッチとして使用できます。 詳しくは、​ ナレッジベースの記事 ​ を参照してください。

style
shade-box
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f