ドキュメント

必要なアクション:Adobe Commerceで重要なセキュリティアップデートを利用できます(APSB25-88)

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

更新日:2025 年 9 月 18 日

最近、Adobe Commerceの独立系セキュリティ研究者らによって、攻撃者がCommerce REST API を介してカスタマーアカウントを乗っ取る可能性がある問題が認識されました(CVE-2025-54236)。

Adobeには、この脆弱性が野外で悪用された証拠はありません。

Adobeは、この脆弱性に対処するセキュリティ速報をリリースしました。これは、​ こちら ​ で確認できます。

注意 : 上記のセキュリティ速報に記載されている CVE-2025-54236 脆弱性を修正するために、Adobeは CVE-2025-54236 を解決する ​ ホットフィックス VULN-32437-2-4-X-patch もリリースしました。

できるだけ早くホットフィックスを適用してください。 そうしないと、このセキュリティ上の問題に対して脆弱になり、Adobeが修正を支援する手段が限られてしまいます。

注意 : クラウドインフラストラクチャー上でAdobe Commerceを使用しているマーチャントの場合、本脆弱性の悪用を防ぐために、web アプリケーションファイアウォール(WAF)のルールをデプロイしました。

Adobeは、この脆弱性の悪用を軽減するためにWAFのルールをデプロイしましたが、WAFのルールのみに依存しているだけでは包括的な保護は提供されません。 ​ 共有責任モデル ​ では、マーチャントは、アプリケーションのセキュリティを確保し、パッチが適用されていることを確認する責任があります。 WAFはさらに防御のレイヤーですが、セキュリティホットフィックスを適用する必要性に代わるものではありません。

ここに記載されているすべての修正ガイダンスに従う必要があります。修正ガイダンスには、パッチの適用、モジュールの更新、その他の推奨されるセキュリティ対策の実装などが含まれます。 そうしないと、環境が公開されたままになり、Adobeによる修正を支援する機能が制限される可能性があります。

注意 : Managed Servicesのマーチャント上のAdobe Commerceの場合、カスタマーサクセスエンジニアがホットフィックスの適用方法に関する追加ガイダンスを提供できます。

注意 : ご質問がある場合やサポートが必要な場合は、遠慮なく ​ サポートチームにお問い合わせください ​

Adobe Commerceで利用可能な最新のセキュリティ更新プログラムについては、​ こちら ​ をご覧ください。

説明 description

影響を受ける製品とバージョン

Adobe Commerce(すべてのデプロイメント方法):

  • 2.4.9-alpha2 以前
  • 2.4.8-p2 以前
  • 2.4.7-p7 以前
  • 2.4.6-p12 以前
  • 2.4.5-p14 以前
  • 2.4.4-p15 以前

Adobe Commerce B2B:

  • 1.5.3-alpha2 以前
  • 1.5.2-p2 以前
  • 1.4.2-p7 以前
  • 1.3.4-p14 以前
  • 1.3.3-p15 以前

Magento Open Source:

  • 2.4.9-alpha2 以前
  • 2.4.8-p2 以前
  • 2.4.7-p7 以前
  • 2.4.6-p12 以前
  • 2.4.5-p14 以前

Custom Attributes Serializable モジュール:

  • バージョン 0.1.0 ~ 0.4.0

問題

潜在的な攻撃者は、Commerce REST API を介してAdobe Commerceのカスタマーアカウントを引き継ぐ可能性があります。

解決策 resolution

CVE-2025-54236:潜在的な攻撃者が、Commerce REST API を通じてカスタマーアカウントを乗っ取る可能性があります

Custom Attributes Serializable モジュールのバージョン:

このガイダンスは、現在Adobe Commerce インスタンスに Custom Attributes Serializable module (magento/out-of-process-custom-attributes module)の古いバージョンがインストールされている場合にのみ適用されます。

注意 :

  • Custom Attributes Serializable モジュール(magento/out-of-process-custom-attributes モジュール)がお使いの環境にインストールされていない場合、この命令を無視して、提供されたホットフィックス パッチの適用を続行することができます VULN-32437-2-4-X-patch
  • 既に最新バージョンのカスタム属性シリアライズ可能モジュールを実行している場合、アップグレードは必要ありません。 指定したホットフィックス パッチ VULN-32437-2-4-X-patch の適用を続行します。

脆弱性を完全に修正するには、提供されたホットフィックスパッチ VULN-32437 を適用してください。

適用可能なバージョン: 0.1.0 ~ 0.3.0

Custom Attributes Serializable モジュールをバージョン 0.4.0 以降に更新します。

モジュールを更新するには、次の composer コマンド を実行します。

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Adobe Commerce バージョンの場合:

  • 2.4.9-alpha1、2.4.9-alpha2
  • 2.4.8、2.4.8-p1、2.4.8-p2
  • 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
  • 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p11、2.4.6-p12
  • 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
  • 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13、2.4.4-p14 2.4.4-p15

Adobe Commerce B2B バージョン:

  • 1.5.3-alpha1、1.5.3-alpha2
  • 1.5.2、1.5.2-p1、1.5.2-p2
  • 1.5.1
  • 1.5.0
  • 1.4.2、1.4.2-p1、1.4.2-p2、1.4.2-p3、1.4.2-p4、1.4.2-p5、1.4.2-p6、1.4.2-p7
  • 1.4.1
  • 1.4.0
  • 1.3.5、1.3.5-p1、1.3.5-p2、1.3.5-p3、1.3.5-p4、1.3.5-p5、1.3.5-p6、1.3.5-p7、1.3.5-p8、1.3.5-p9、1.3.5-p10、1.3.5-p10、1.3.5-p12
  • 1.3.4、1.3.4-p1、1.3.4-p2、1.3.4-p3、1.3.4-p4、1.3.4-p5、1.3.4-p6、1.3.4-p7、1.3.4-p8、1.3.4-p9、1.3.4-p10、1.3.4-p11、1.3.4-p12、1.3.4-p13、1.3.4-p13、1.3.4-p1
  • 1.3.3、1.3.3-p1、1.3.3-p2、1.3.3-p3、1.3.3-p4、1.3.3-p5、1.3.3-p6、1.3.3-p7、1.3.3-p8、1.3.3-p9、1.3.3-p10、1.3.3-p11、1.3.3-p12、1.3.3-p13、1.3.3-p13、1.3.3-p4 1.3.3-p15

Magento Open Source バージョンの場合:

  • 2.4.9-alpha1、2.4.9-alpha2
  • 2.4.8、2.4.8-p1、2.4.8-p2
  • 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
  • 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p11、2.4.6-p12
  • 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14

次のホットフィックスを適用するか、最新のセキュリティパッチにアップグレードします。

ホットフィックスの適用方法

ファイルを解凍し、サポートナレッジベースの Adobeが提供する Composer パッチの適用方法 ​ を参照してください。

Adobe Commerce on Cloud マーチャントのみ – パッチが適用されているかどうかを確認する方法

問題がパッチ適用されたかどうかを簡単に判断することはできないので、CVE-2025-54236 分離パッチが正常に適用されたかどうかを確認することをお勧めします。

メモ : これは、ファイル VULN-27015-2.4.7_COMPOSER.patch を使用して次の手順で行うことができます

  1. ​ 品質向上パッチツールのインストール ​

  2. 次のコマンドを実行します。

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. 次のような出力が表示されます。 この例 VULN-27015Applied ステータスを返します。

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f