Adobe Commerce 2.4.8 セキュリティパッチのリリースノート
これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。
- セキュリティバグの修正
- セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
- 既知の問題
- 必要に応じて追加のパッチを適用する手順
- リリースに含まれるホットフィックスに関する情報
セキュリティパッチリリースについて詳しくは、以下を参照してください。
- Adobe Commerce セキュリティパッチリリースの概要
- セキュリティパッチリリースのダウンロードと適用の手順については、2}Adobe Commerce ナレッジベースのセキュリティパッチの取得と適用方法 を参照してください 。
2.4.8-p4
Adobe Commerce 2.4.8-p4 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
ハイライト
このリリースには、次のハイライトが含まれています。
DHL 配送統合のための MyDHL REST API サポート
DHL 配送統合では、既存の DHL Express XML 統合に加えて、MyDHL REST API をサポートするようになりました。 この更新は DHL の現在の API スタックに従っており、古い XML API の廃止に備えています。
最新バージョンの Composer との互換性を追加
Adobe Commerce 2.4.8 は、Composer 2.9.x をサポートし、Composer 2.2 LTS との互換性を維持するように更新されました。
2.4.8-p3
Adobe Commerce 2.4.8-p3 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-94 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ナレッジベースの記事を参照してください。
-
開発者は、REST API コンストラクターパラメーターの検証 を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。
-
ACP2E-3874 の修正:複数の同じ項目が注文された場合に、注文の詳細に対する REST API 応答に、
base_row_total属性とrow_total属性の正しい値が含まれるようになりました。 -
AC-15446 の修正:
Magento\Framework\Mail\EmailMessageがgetBodyText()に存在しないgetTextBody()メソッドを呼び出そうとしたSymfony\Component\Mime\Messageのエラーを修正して、Magento 2.4.8-p2 およびmagento/framework103.0.8-p2 との互換性を確保しました。 -
TinyMCE から Hugerte.org への移行
TinyMCE 5 および 6 のサポートが終了し、TinyMCE 7 との互換性がなくなったため、現在のAdobe Commerce WYSIWYG エディターの実装は、TinyMCE からオープンソースの HugeRTE エディター に移行されています。
この移行により、Adobe Commerceはオープンソースのライセンスに引き続き準拠し、既知の TinyMCE 6 の脆弱性を回避し、マーチャントやデベロッパー向けに最新のサポートされている編集機能を提供します。
-
Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加
Simple Text Oriented Messaging Protocol (STOMP)を介した ActiveMQ Artemis オープンソースメッセージブローカーのサポートを追加しました。 信頼性と拡張性に優れたメッセージングシステムを提供し、STOMP ベースの統合に柔軟性を提供します。 2}Commerce Configuration Guide の {Apache ActiveMQ Artemis を参照してください。
既知の問題
チェックアウトページで static.min.js と mixins.min.js の読み込みに失敗する
JavaScriptのバンドルと縮小の両方が実稼働モードで有効になっている場合、CSP/SRI が最近変更された後、チェックアウトページで static.min.js と mixins.min.js が読み込まれません。 その結果、RequireJS mixin が実行されず、チェックアウトノックアウトテンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
回避策:
- JavaScriptのバンドルを無効にする
- JavaScriptのバンドルを有効にしたままにする場合は、JavaScriptの縮小を無効にします。
ホットフィックス:
ホットフィックスが利用可能です。 パッチの詳細については、ナレッジベースの JS の縮小とバンドルが有効な場合にチェックアウトが失敗する を参照してください。
2.4.8-p2
Adobe Commerce 2.4.8-p2 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-71 を参照してください。
2.4.8-p1
Adobe Commerce 2.4.8-p1 セキュリティリリースは、2.4.8 の以前のリリースで特定された脆弱性に対するセキュリティバグ修正を提供します。
セキュリティのバグ修正の最新情報については、Adobe セキュリティ速報 APSB25-50 を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
API パフォーマンスの強化 – 以前のセキュリティパッチの後に導入された一括非同期 web API エンドポイントのパフォーマンス低下を解決します。
-
CMS ブロックのアクセス修正 – 権限が制限された管理者ユーザー(マーチャンダイジングのみのアクセスなど)が CMS Blocks リストページを表示できない問題を解決します。
以前は、以前のセキュリティパッチをインストールした後に設定パラメーターが見つからないために、これらのユーザーにエラーが発生していました。
-
Cookie 制限互換性 - フレームワーク内の
MAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新により、期待される動作が復元され、cookie の制限とやり取りする拡張機能やカスタマイズの互換性が確保されます。 -
非同期操作 – 以前の顧客の注文を上書きするための制限付きの非同期操作。
-
CVE-2025-47110 の修正 – メールテンプレートの脆弱性を解決
-
VULN-31547 の修正 – カテゴリの正規リンクの脆弱性を解決します。
CVE-2025-47110 および VULN-31547 の修正も、独立したパッチとして使用できます。 詳しくは、 ナレッジベースの記事 を参照してください。