必要なアクション:Adobe Commerceに関する重要なセキュリティアップデート公開(APSB25-88)
更新日:2025年9月18日(PT)
最近、Adobe Commerceの独立系セキュリティ研究者から、攻撃者がCommerce REST API (CVE-2025-54236)を介してカスタマーアカウントを引き継ぐ可能性がある問題が報告されました。
Adobeには、この脆弱性が悪用された証拠はありません。
Adobeは、この脆弱性に対処するセキュリティ情報を公開しました。セキュリティ情報はこちらにあります。
メモ:上記のセキュリティ情報に記載されているCVE-2025-54236の脆弱性を修正するために、AdobeはCVE-2025-54236を解決する ホットフィックス VULN-32437-2-4-X-patchもリリースしました。
できるだけ早くホットフィックスを適用してください。 これを行わない場合、このセキュリティ問題に対して脆弱になり、Adobeの修復手段は限られます。
メモ : Adobe Commerce on Cloud インフラストラクチャを使用しているマーチャントに対して、この脆弱性の悪用から環境を保護するためにweb アプリケーションファイアウォール(WAF)ルールを導入しました。
Adobeでは、この脆弱性の悪用を防ぐためにWAFのルールを導入していますが、WAFのルールのみに依存しても、包括的な保護は提供されません。 共有責任モデル では、販売者はアプリケーションのセキュリティとパッチの適用を確実に行う責任があります。 WAFは追加の防御レイヤーですが、セキュリティ修正プログラムを適用する必要に代わるものではありません。
パッチの適用、モジュールの更新、その他の推奨されるセキュリティ対策の実装など、ここで説明するすべての修復ガイダンスに従う必要があります。 これを怠ると、環境が公開され、Adobeの修復機能が制限される可能性があります。
メモ: Managed Services上のAdobe Commerceのマーチャントについては、カスタマーサクセスエンジニアがホットフィックスの適用に関する追加ガイダンスを提供できます。
メモ:ご質問がある場合やサポートが必要な場合は、お気軽に サポートチーム にお問い合わせください。
Adobe Commerceに関する最新のセキュリティ更新プログラムは、ここにあります。
説明 description
影響を受ける製品とバージョン
Adobe Commerce(すべてのデプロイメント方法):
- 2.4.9-alpha2以前
- 2.4.8-p2以前
- 2.4.7-p7以前
- 2.4.6-p12以前
- 2.4.5-p14以前
- 2.4.4-p15以前
Adobe Commerce B2B:
- 1.5.3-alpha2以前
- 1.5.2-p2以前
- 1.4.2-p7以前
- 1.3.4-p14以前
- 1.3.3-p15以前
Magento Open Source:
- 2.4.9-alpha2以前
- 2.4.8-p2以前
- 2.4.7-p7以前
- 2.4.6-p12以前
- 2.4.5-p14以前
カスタム属性シリアル化可能モジュール:
- バージョン 0.1.0 ~ 0.4.0
問題
潜在的な攻撃者が、Commerce REST APIを介してAdobe Commerceの顧客アカウントを乗っ取る可能性があります。
解決策 resolution
CVE-2025-54236:潜在的な攻撃者が、Commerce REST APIを通じてお客様のアカウントを引き継ぐ可能性があります
カスタム属性のシリアル化可能なモジュールバージョンの場合:
メモ:
- カスタム属性のシリアル化可能モジュール (
magento/out-of-process-custom-attributesモジュール)が環境にインストールされていない場合は、この指示を無視し、提供されたホットフィックス パッチ VULN-32437-2-4-X-patchの適用を続行できます。 - 既に最新バージョンのカスタム属性シリアル化可能モジュールを実行している場合は、アップグレードは必要ありません。 指定されたホットフィックス パッチ VULN-32437-2-4-X-patchの適用を続行します。
脆弱性を完全に修復するには、提供されたホットフィックス パッチ VULN-32437を必ず適用してください。
適用可能なバージョン: 0.1.0 ~ 0.3.0
カスタム属性のシリアル化可能モジュールをバージョン 0.4.0以降に更新します。
モジュールを更新するには、このcomposer コマンド を実行します。
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
Adobe Commerce版の場合:
- 2.4.9-alpha1、2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
- 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13、2.4.4-p14 2.4.4-p15
Adobe Commerce B2B版の場合:
- 1.5.3-alpha1、1.5.3-alpha2
- 1.5.2、1.5.2-p1、1.5.2-p2
- 1.5.1
- 1.5.0
- 1.4.2、1.4.2-p1、1.4.2-p2、1.4.2-p3、1.4.2-p4、1.4.2-p5、1.4.2-p6、1.4.2-p7
- 1.4.1
- 1.4.0
- 1.3.5、1.3.5-p1、1.3.5-p2、1.3.5-p3、1.3.5-p4、1.3.5-p5、1.3.5-p6、1.3.5-p7、1.3.5-p8、1.3.5-p9、1.3.5-p10、1.3.5-p12
- 1.3.4、1.3.4-p1、1.3.4-p2、1.3.4-p3、1.3.4-p4、1.3.4-p5、1.3.4-p6、1.3.4-p7、1.3.4-p8、1.3.4-p9、1.3.4-p10、1.3.4-p11、1.3.4-p12、1.3.4-p13、1.3.4-p14
- 1.3.3、1.3.3-p1、1.3.3-p2、1.3.3-p3、1.3.3-p4、1.3.3-p5、1.3.3-p6、1.3.3-p7、1.3.3-p8、1.3.3-p9、1.3.3-p10、1.3.3-p11、1.3.3-p12、1.3.3-p13、1.3.3-p14 1.3.3-p15
Magento Open Source版の場合:
- 2.4.9-alpha1、2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
次のホットフィックスを適用するか、最新のセキュリティ パッチにアップグレードします。
ホットフィックスの適用方法
ファイルを解凍し、手順については、サポートナレッジベースのAdobeが提供するコンポーザーパッチの適用方法を参照してください。
Adobe Commerce on Cloud マーチャントのみ – パッチが適用されているかどうかを確認する方法
問題にパッチが適用されたかどうかを簡単に判断できないことを考慮して、CVE-2025-54236分離パッチが正常に適用されたかどうかを確認することをお勧めします。
メモ : ファイル VULN-27015-2.4.7_COMPOSER.patch を例として使用して、次の手順を実行します。
-
コマンドを実行します。
vendor/bin/magento-patches -n status | grep "27015\|Status" -
この例のような出力が表示されます VULN-27015はApplied ステータスを返します:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
セキュリティ更新
Adobe Commerceに関するセキュリティアップデート公開: