ドキュメントExperience Cloud KCS

Adobe Commerceに関するセキュリティアップデート公開 – APSB25-50

最終更新日: 2026年6月23日

2025年6月10日(PT)に、AdobeはAdobe CommerceとMagento Open Sourceのセキュリティアップデートを定期的にリリースしました。 この更新プログラムは、重要で重要な脆弱性を解決します。これらの脆弱性が正常に悪用されると、セキュリティ機能のバイパス、権限のエスカレーション、任意のコード実行が発生する可能性があります。

詳しくは、Adobe セキュリティ情報(APSB25-50)こちらを参照してください。

メモ :上記のセキュリティ情報に記載されているCVE-2025-47110の修正が、可能な限り迅速に適用できることを確認し、AdobeはCVE-2025-47110を解決する個別パッチもリリースしました。 これにより、潜在的な統合の問題によって遅延するリスクを減らしながら、独自で修正を適用することができます。

最新のセキュリティ更新プログラムをできるだけ早く適用してください。 これを行わない場合、これらのセキュリティ問題に対して脆弱性が生じますが、Adobeには、この問題を解決するための手段が限られています。

個別パッチのデプロイメントプロセスについて詳しくは、🔗を参照してください。

メモ : Managed Services版Adobe Commerceをご利用のお客様は、カスタマーサクセスエンジニアから、パッチ適用に関する追加のガイダンスを受けることができます。

メモ : セキュリティパッチ/分離パッチの適用に問題が発生した場合は、サポートサービスにお問い合わせください。

Adobe Commerceに関する最新のセキュリティ更新プログラムは、こちらから入手できます

説明 description

影響を受ける製品とバージョン

Adobe Commerce(すべてのデプロイメント方法):

  • 2.4.8
  • 2.4.7-p5以前
  • 2.4.6-p10以前
  • 2.4.5-p12以前
  • 2.4.4-p13以前

問題

  • Adobe Commerce バージョン 2.4.8、2.4.7-p5以前、2.4.6-p10以前、2.4.5-p12以前、および2.4.4-p13以前は、サーバーサイドテンプレートインジェクションを介したストアド クロスサイトスクリプティング(XSS)の脆弱性の影響を受けます。
  • Adobe Commerce バージョン 2.4.8は、marketplace.magento.comに反映されたXSSの脆弱性と、IMS インスタンスでのワンクリックアカウント取得(ATO)の問題の影響を受けます。

解決策 resolution

I。 CVE-2025-47110:Adobe Commerce 2.4.7-p4のサーバーサイドテンプレートインジェクションを介してXSSを保存

Adobe Commerce版の場合:

  • 2.4.8
  • 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5
  • 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10
  • 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12
  • 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13

次の分離パッチを適用するか、最新のセキュリティパッチにアップグレードします。

II. VULN-31547: marketplace.magento.comにXSSが反映されています+ IMS インスタンスに影響を与えるワンクリック ATOの問題

Adobe Commerce版の場合:

  • 2.4.8

次の分離パッチを適用するか、最新のセキュリティパッチにアップグレードします。

分離パッチの適用方法

ファイルを解凍し、手順については、サポートナレッジベースのAdobeが提供するコンポーザーパッチの適用方法を参照してください。

Adobe Commerce on Cloud マーチャントのみ – 分離されたパッチが適用されているかどうかを確認する方法

問題にパッチが適用されたかどうかを簡単に確認できないため、CVE-2025-47110の分離パッチが正常に適用されたかどうかを確認することをお勧めします。

メモ : 次の手順を実行して、ファイル VULN-27015-2.4.7_COMPOSER.patchを例として使用します。

  1. 品質パッチツールをインストールします。

  2. コマンドを実行します。

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. VULN-27015が​Applied ステータスを返す場合は、次のような出力が表示されます。

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

セキュリティ更新

Adobe Commerceに関するセキュリティアップデート公開:

recommendation-more-help
experience-cloud-kcs-help-kbarticles