Adobe Commerce 2.4.8 セキュリティパッチのリリースノート
これらのセキュリティパッチリリースノートでは、Adobe Commerce デプロイメントのセキュリティを強化するためのアップデートを取り込んでいます。 情報には、以下が含まれますが、これらに限定されません。
- セキュリティバグの修正
- セキュリティパッチに含まれる機能強化および更新に関する詳細を提供するセキュリティのハイライト
- 既知の問題
- 必要に応じて追加のパッチを適用する手順
- リリースに含まれるホットフィックスに関する情報
セキュリティパッチリリースについて詳しくは、以下を参照してください。
- Adobe Commerce セキュリティパッチリリースの概要
- セキュリティパッチリリースのダウンロードと適用の手順については、2}Adobe Commerce ナレッジベースのセキュリティパッチの取得と適用方法 を参照してください 。
2.4.8-p4
Adobe Commerce 2.4.8-p4 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグ修正が含まれています。
セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB26-05を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
DHL配送の統合のためのMyDHL REST API サポート
DHL出荷統合では、既存のDHL Express XML統合に加えて、MyDHL REST APIがサポートされるようになりました。 このアップデートはDHLの現在のAPI スタックに合っており、古いXML APIの廃止に備えています。
最新バージョンのComposerとの互換性の追加
Adobe Commerce 2.4.8が更新され、Composer 2.9.xがサポートされるようになりました。ただし、Composer 2.2 LTSとの互換性は維持されます。
2.4.8-p3
Adobe Commerce 2.4.8-p3 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグの修正が含まれています。
セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-94を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
CVE-2025-54236 を修正して、REST API の脆弱性を解決しました。 Adobeは、2025 年 9 月にこの問題のホットフィックスをリリースしました。 詳しくは、 必要なアクション:Adobe Commerceで利用可能な重要なセキュリティアップデート(APSB25-88) ナレッジベースの記事を参照してください。
-
開発者は、REST API コンストラクターパラメーターの検証 を確認して、これらのセキュリティの変更に準拠するように拡張機能を更新する方法を理解する必要があります。
-
ACP2E-3874の修正:複数の同じアイテムが注文された場合に備えて、注文の詳細に対するREST API応答に
base_row_totalおよびrow_total属性の正しい値が含まれるようになりました。 -
AC-15446の修正:
Magento\Framework\Mail\EmailMessageのエラーを修正しました。getBodyText()がgetTextBody()に存在しないSymfony\Component\Mime\Messageメソッドを呼び出そうとし、Magento 2.4.8-p2およびmagento/framework103.0.8-p2との互換性を確保しました。 -
TinyMCEからHugerte.orgへの移行
TinyMCE 5および6のサポートの終了と、TinyMCE 7との非互換性のライセンスが原因で、Adobe Commerce WYSIWYG エディターの現在の実装は、TinyMCEからオープンソースのHugeRTE エディターに移行されます。
この移行により、Adobe Commerceはオープンソースライセンスに準拠し、既知のTinyMCE 6の脆弱性を回避し、最新のサポートされた編集体験をマーチャントと開発者に提供できます。
-
Apache ActiveMQ Artemis STOMP プロトコルのサポートを追加しました
Simple Text Oriented Messaging Protocol (STOMP)によるActiveMQ Artemis オープンソースのメッセージブローカーのサポートを追加しました。 信頼性の高いスケーラブルなメッセージングシステムを提供し、STOMP ベースの統合に柔軟に対応できます。 Commerce Configuration Guideの Apache ActiveMQ Artemis を参照してください。
既知の問題
チェックアウトページでstatic.min.jsとmixins.min.jsの読み込みに失敗する
JavaScriptのバンドルと縮小の両方が実稼動モードで有効になっている場合、最近のCSP/SRIの変更後、チェックアウトページにstatic.min.jsとmixins.min.jsが読み込まれません。 その結果、RequireJS Mixinが実行されず、チェックアウト ノックアウト テンプレートが解決されません(例:"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
回避策:
- JavaScript バンドルを無効にする。または
- JavaScript バンドルを有効にしておく場合は、JavaScriptの縮小を無効にします。
ホットフィックス:
ホットフィックスが利用可能です。 パッチの詳細については、ナレッジベースで「JSの縮小とバンドルが有効になっている場合にチェックアウトが失敗する」を参照してください。
2.4.8-p2
Adobe Commerce 2.4.8-p2 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグ修正が含まれています。
セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-71を参照してください。
2.4.8-p1
Adobe Commerce 2.4.8-p1 セキュリティリリースには、以前のリリース 2.4.8で特定された脆弱性に対するセキュリティバグの修正が含まれています。
セキュリティ バグの修正に関する最新情報については、Adobe セキュリティ情報APSB25-50を参照してください。
ハイライト
このリリースには、次のハイライトが含まれています。
-
API パフォーマンスの向上 – 以前のセキュリティ パッチの後に導入された一括非同期web API エンドポイントのパフォーマンス低下を解決します。
-
CMS ブロック アクセス修正 – 制限された権限(マーチャンダイジング専用アクセスなど)を持つ管理者ユーザーがCMS Blocksの一覧ページを表示できなかった問題を解決します。
以前は、以前のセキュリティ パッチをインストールした後、構成パラメーターが欠落しているため、これらのユーザーでエラーが発生していました。
-
Cookie制限の互換性 - フレームワークの
MAX_NUM_COOKIES定数に関する後方互換性のない変更を解決します。 この更新プログラムは、期待される動作を復元し、cookieの制限と相互作用する拡張機能またはカスタマイズの互換性を確保します。 -
非同期操作 – 以前の顧客の注文を上書きするための非同期操作が制限されています。
-
CVE-2025-47110の修正 – メールテンプレートの脆弱性を解決します。
-
VULN-31547の修正 – カテゴリの正規リンクの脆弱性を解決します。
CVE-2025-47110およびVULN-31547の修正プログラムは、独立したパッチとしても利用できます。 詳しくは、 ナレッジベース記事を参照してください。