ドキュメント

Adobe Commerceでセキュリティアップデートを利用できます – APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

2025 年 6 月 10 日(PT)に、Adobeは、Adobe CommerceおよびMagento Open Sourceのセキュリティ更新を定期的にスケジュールしてリリースしました。 このアップデートにより 重大および重要脆弱性が解決されます。 これらの脆弱性が悪用されると、セキュリティ機能のバイパス、権限のエスカレーション、任意のコードの実行が発生する可能性があります。

詳しくは、Adobeのセキュリティ速報(APSB25-50)を参照してください

注意 :上記のセキュリティ速報に記載されている CVE-2025-47110 の修正が可能な限り迅速に適用できることを確認してください。Adobeは、CVE-2025-47110 を解決する独立したパッチもリリースしました。 これにより、マーチャントは、統合の問題が発生する可能性があるために遅延が発生するリスクを減らしながら、修正を個別に適用できます。

最新のセキュリティ更新プログラムを早急に適用してください。 そうしないと、これらのセキュリティ上の問題に対して脆弱になり、Adobeがこの問題をさらに修正するのに役立つ手段が限られてしまいます。

個別パッチ導入プロセスの詳細については、こちらを参照してください。

注意 : Managed Servicesのお客様のAdobe Commerceの場合、カスタマーサクセスエンジニアからパッチ適用に関する追加ガイダンスを提供できます。

注意 : セキュリティパッチ/分離パッチの適用で問題が発生した場合は、サポートサービスにお問い合わせください。

なお、Adobe Commerceで利用可能な最新のセキュリティ更新プログラムについては、こちらを参照してください。

説明 description

影響を受ける製品とバージョン

Adobe Commerce(すべてのデプロイメント方法):

  • 2.4.8
  • 2.4.7-p5 以前
  • 2.4.6-p10 以前
  • 2.4.5-p12 以前
  • 2.4.4-p13 以前

問題

  • Adobe Commerce バージョン 2.4.8、2.4.7-p5 以前、2.4.6-p10 以前、2.4.5-p12 以前、2.4.4-p13 以前は、サーバーサイドテンプレートインジェクションによるストアドクロスサイトスクリプティング(XSS)の脆弱性の影響を受けています。
  • Adobe Commerce バージョン 2.4.8 は、marketplace.magento.comの反映された XSS の脆弱性と、IMS インスタンスでのワンクリックアカウント引き継ぎ(ATO)の問題の影響を受けます。

解決策 resolution

私。CVE-2025-47110:Adobe Commerce 2.4.7-p4 のサーバーサイドテンプレートインジェクションを使用して XSS を保存

Adobe Commerce バージョンの場合:

  • 2.4.8
  • 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5
  • 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10
  • 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12
  • 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p12、2.4.4-4-p13

次の分離パッチを適用するか、最新のセキュリティパッチにアップグレードします。

II. VULN-31547:marketplace.magento.comに XSS が反映+ IMS インスタンスに影響を与えるワンクリック ATO 問題

Adobe Commerce バージョンの場合:

  • 2.4.8

次の分離パッチを適用するか、最新のセキュリティパッチにアップグレードします。

分離パッチの適用方法

ファイルを解凍し、サポートナレッジベースの Adobeが提供する Composer パッチの適用方法を参照してください。

Adobe Commerce on Cloud マーチャントの場合のみ – 分離パッチが適用されているかどうかを確認する方法

この問題がパッチが適用されたかどうかを簡単に確認できないのであれば、CVE-2025-47110 分離パッチが正常に適用されたかどうかを確認することをお勧めします。

注意 : これは、例としてファイル VULN-27015-2.4.7_COMPOSER.patch を使用して、次の手順を実行することで実行できます。

  1. 品質向上パッチツールをインストールします

  2. 次のコマンドを実行します。

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. VULN-27015 が Applied ステータスを返す、次のような出力が表示されます。

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f