ドキュメントCommerceリリース情報

Adobe Commerce 2.4.8 セキュリティパッチのリリースノート

最終更新日: 2026年5月13日

作成対象:

  • Experienced
  • Admin
  • Developer

これらのセキュリティパッチリリースノートには、Adobe Commerceのデプロイメントのセキュリティを強化するためのアップデートが記載されています。 情報には、以下のものが含まれますが、これらに限定されません。

  • セキュリティのバグ修正
  • セキュリティパッチに含まれる機能強化とアップデートに関する詳細を提供するセキュリティハイライト
  • 既知の問題
  • 必要に応じて追加のパッチを適用する手順
  • リリースに含まれるホットフィックスに関する情報

セキュリティパッチリリースの詳細:

2.4.8-p5

Adobe Commerce 2.4.8-p5 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB26-49を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントは、互換性のある最新のB2B セキュリティパッチリリースにアップデートする必要があります。 B2B リリースノート ​を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

MariaDB 11.8との互換性

Adobe Commerce 2.4.8は、MariaDB 11.4のサポートを維持しながら、MariaDB 11.8との互換性が検証されています。 このアップデートは、プラットフォームの安定性を維持するためにMariaDB 11.8で導入されたSQL動作の変更、デフォルトのアップデート、および非推奨化に対応します。

OpenSearch 3の最新マイナーバージョンのサポート

Adobe Commerce 2.4.8では、クラウドインフラストラクチャ、クラウドネイティブおよびオンプレミスのデプロイメントで、Adobe Commerce上のOpenSearch 3の最新マイナーバージョンがサポートされるようになりました。 OpenSearch 2との互換性は保持されます。

Valkey 8.1 LTS サポート

Adobe Commerce 2.4.8はValkey 8.1 LTSと互換性を持つようになり、クラウドインフラストラクチャ上のAdobe Commerceでサポートされている長期的なキャッシュバックエンドオプションを提供します。

RabbitMQ 4.2のサポート

Adobe Commerce 2.4.8は、2026年2月に予定されているRabbitMQ 4.1のサポート終了日に対応するRabbitMQ 4.2と互換性を持つようになりました。 Apache ActiveMQ Artemisとの互換性は保持され、ActiveMQはこのセキュリティのみのリリースラインのデフォルトのメッセージキューサービスのままです。

USPS REST APIのサポート

USPS出荷統合では、従来のWeb ツール APIに加えて、最新のRESTful USPS APIがサポートされるようになりました。 管理者は、管理者設定から使用するUSPS統合APIを選択できます。 このアップデートは、USPS Web Tools APIの非推奨化に備えています。

Magento所有のラミナス MVC フォーク

Laminas MVCの退職に対処するため、Adobe CommerceはMagentoが所有するlaminas-mvc (公開名:magento/magento-zf-mvc)のフォークを使用するようになりました。 このフォークは、Adobe Commerce 2.4.8の継続的なパッチ適用と長期的なセキュリティコンプライアンスを保証します。

2.4.8-p4

Adobe Commerce 2.4.8-p4 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB26-05を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントは、互換性のある最新のB2B セキュリティパッチリリースにアップデートする必要があります。 B2B リリースノート ​を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

DHL配送の統合のためのMyDHL REST API サポート

DHL出荷統合では、既存のDHL Express XML統合に加えて、MyDHL REST APIがサポートされるようになりました。 このアップデートはDHLの現在のAPI スタックに合っており、古いXML APIの廃止に備えています。

最新バージョンのComposerとの互換性の追加

Adobe Commerce 2.4.8が更新され、Composer 2.9.xがサポートされるようになりました。ただし、Composer 2.2 LTSとの互換性は維持されます。

2.4.8-p3

Adobe Commerce 2.4.8-p3 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-94を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントは、互換性のある最新のB2B セキュリティパッチリリースにアップデートする必要があります。 B2B リリースノート ​を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、​ 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ​ ナレッジベースの記事を参照してください。

  • 開発者は、REST API コンストラクターパラメーターの検証 ​ を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。

  • ACP2E-3874の修正:複数の同じアイテムが注文された場合に備えて、注文の詳細に対するREST API応答にbase_row_totalおよびrow_total属性の正しい値が含まれるようになりました。

  • AC-15446の修正:Magento\Framework\Mail\EmailMessageのエラーを修正しました。getBodyText()Symfony\Component\Mime\Messageに存在しないgetTextBody() メソッドを呼び出そうとし、Magento 2.4.8-p2およびmagento/framework 103.0.8-p2との互換性を確保しました。

  • TinyMCEからHugerte.orgへの移行

    TinyMCE 5および6のサポートの終了と、TinyMCE 7との非互換性のライセンスが原因で、Adobe Commerce WYSIWYG エディターの現在の実装は、TinyMCEからオープンソースのHugeRTE エディターに移行されます。

    この移行により、Adobe Commerceはオープンソースライセンスに準拠し、既知のTinyMCE 6の脆弱性を回避し、最新のサポートされた編集体験をマーチャントと開発者に提供できます。

  • Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加しました

    Simple Text Oriented Messaging Protocol (STOMP)によるActiveMQ Artemis オープンソースのメッセージブローカーのサポートを追加しました。 信頼性の高いスケーラブルなメッセージングシステムを提供し、STOMP ベースの統合に柔軟に対応できます。 Commerce Configuration Guide​のApache ActiveMQ Artemisを参照してください。

既知の問題

チェックアウトページでstatic.min.jsとmixins.min.jsの読み込みに失敗する

JavaScriptのバンドルと縮小の両方が実稼動モードで有効になっている場合、最近のCSP/SRIの変更後、チェックアウトページにstatic.min.jsとmixins.min.jsが読み込まれません。 その結果、RequireJS Mixinが実行されず、チェックアウト ノックアウト テンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

回避策:

  • JavaScript バンドルを無効にする。または
  • JavaScript バンドルを有効にしておく場合は、JavaScriptの縮小を無効にします。
IMPORTANT
本番環境でCSPを無効にしたり、SRI保護を削除したりしないでください。 プラグインレベルのバイパスは、ホットフィックスの最後の手段としてのみ使用し、セキュリティチームが確認する必要があります。

ホットフィックス:

ホットフィックスが利用可能です。 パッチの詳細については、ナレッジベースで「JSの縮小とバンドルが有効になっている場合にチェックアウトが失敗する」を参照してください。

2.4.8-p2

Adobe Commerce 2.4.8-p2 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグ修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-71を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントは、互換性のある最新のB2B セキュリティパッチリリースにアップデートする必要があります。 B2B リリースノート ​を参照してください。

2.4.8-p1

Adobe Commerce 2.4.8-p1 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグの修正が含まれています。

セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-50を参照してください。

NOTE
このセキュリティパッチをインストールした後、Adobe Commerce B2B マーチャントは、互換性のある最新のB2B セキュリティパッチリリースにアップデートする必要があります。 B2B リリースノート ​を参照してください。

ハイライト

このリリースには、次のハイライトが含まれています。

  • API パフォーマンスの向上 – 以前のセキュリティ パッチの後に導入された一括非同期web API エンドポイントのパフォーマンス低下を解決します。

  • CMS ブロック アクセス修正 – 制限された権限(マーチャンダイジング専用アクセスなど)を持つ管理者ユーザーがCMS Blocksの一覧ページを表示できなかった問題を解決します。

    以前は、以前のセキュリティ パッチをインストールした後、構成パラメーターが欠落しているため、これらのユーザーでエラーが発生していました。

  • Cookie制限の互換性 - フレームワークのMAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新プログラムは、期待される動作を復元し、cookieの制限と相互作用する拡張機能またはカスタマイズの互換性を確保します。

  • 非同期操作 – 以前の顧客の注文を上書きするための非同期操作が制限されています。

  • CVE-2025-47110​の修正 – メールテンプレートの脆弱性を解決します。

  • VULN-31547​の修正 – カテゴリの正規リンクの脆弱性を解決します。

CVE-2025-47110およびVULN-31547の修正プログラムは、独立したパッチとしても利用できます。 詳しくは、​ ナレッジベース記事を参照してください。

style
shade-box
recommendation-more-help
commerce-operations-help-release