Adobeは2月13日(米国時間)、Adobe CommerceとMagento Open Sourceに緊急の脆弱性が存在するとしてセキュリティアドバイザリおよびアップデートを公開した(参考「Adobe CommerceとMagento Open Sourceに重大な脆弱性、アップデートを | TECH+」)。このアップデートを適用した場合は注意が必要だ。提供されたアップデートでは修正が不十分だったことが明らかになり、再度新たなアップデートが公開されたからだ。どのバージョンを使っているかを確認するとともに、該当している場合はアップデートを適用することが望まれる。

Adobeは2月18日、「Security updates available for Adobe Commerce APSB22-12 – Adobe Commerce Help Center」の内容を更新し、前回のセキュリティアップデートはCVE-2022-24086に対する防御機能としては不十分だったことを発見したと伝えるとともに、新たにこの問題を修正するためのアップデートの提供を開始したと伝えた(CVE-2022-24087)。

  • Security updates available for Adobe Commerce APSB22-12 – Adobe Commerce Help Center

    Security updates available for Adobe Commerce APSB22-12 – Adobe Commerce Help Center

脆弱性の詳細は一つ前のセキュリティアドバイザリを更新する形で次のページで提供している。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Adobe Commerce 2.4.3-p1およびこれよりも前のバージョン
  • Adobe Commerce 2.3.7-p2およびこれよりも前のバージョン
  • Magento Open Source 2.4.3-p1およびこれよりも前のバージョン
  • Magento Open Source 2.3.7-p2およびこれよりも前のバージョン

該当するバージョンにはパッチが提供されており、該当するプロダクトを使用しているユーザに対してアップデートの適用が呼びかけられている。

公開されたアップデートが不十分なものであり、数日後に新しいセキュリティアドバイザリおよびアップデートが提供されることは珍しくない。こうしたケースでは適用済みのアップデートと同じものと誤認して適用すべきアップデートを見送ってしまうことがある。一見するとまったく同じセキュリティアドバイザリのように見えても、利用中のプロダクトについては内容をもう一度確認するとともに、アップデートが行われている場合は迅速に適用することが望まれる。