Versionshinweise für Adobe Commerce 2.4.7-Sicherheits-Patches
Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerbehebungen bei der Sicherheit
- Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu allen in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Überblick über Adobe Commerce Security-Patch-Versionen
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie in der So rufen Sie Sicherheits-Patches ab und wenden in der Adobe Commerce Knowledgebase.
2.4.7-p8
Die Adobe Commerce-Sicherheitsversion 2.4.7-p8 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-94.
Highlights
Diese Version enthält eine Fehlerbehebung für CVE-2025-54236, um eine REST-API-Schwachstelle zu beheben.
Adobe hat im September 2025 einen Hotfix für dieses Problem veröffentlicht. Weitere Informationen finden Sie Knowledgebase-Artikel „Action required: Critical Security Update Available for Adobe Commerce (APSB2588)
Entwicklerinnen und Entwickler müssen die Validierung der Konstruktorparameter der REST-API überprüfen, um zu erfahren, wie Erweiterungen aktualisiert werden können, damit sie mit diesen Sicherheitsänderungen konform sind.
2.4.7-p7
Die Adobe Commerce-Sicherheitsversion 2.4.7-p7 enthält Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-71.
2.4.7-p6
Die Adobe Commerce-Version 2.4.7-p6 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-50.
Highlights
Diese Version umfasst die folgenden Highlights:
-
MariaDB-Unterstützung - Es wurde Unterstützung für MariaDB 10.11 hinzugefügt.
-
API-Leistungsverbesserung: Behebt die Leistungsbeeinträchtigung bei asynchronen Web-API-Endpunkten, die nach dem vorherigen Sicherheits-Patch eingeführt wurden.
-
CMS blockiert den Zugriff - Löst ein Problem, bei dem Admin-Benutzer mit eingeschränkten Berechtigungen (z. B. Nur-Merchandising-Zugriff) die CMS Blocks nicht anzeigen konnten.
Zuvor trat bei diesen Benutzern ein Fehler aufgrund fehlender Konfigurationsparameter nach der Installation früherer Sicherheits-Patches auf.
-
Cookie-Kompatibilität - Löst eine abwärtsinkompatible Änderung auf, die die
MAX_NUM_COOKIESim Framework betrifft. Diese Aktualisierung stellt das erwartete Verhalten wieder her und stellt die Kompatibilität für Erweiterungen oder Anpassungen sicher, die mit Cookie-Beschränkungen interagieren. -
Async-Vorgänge - Eingeschränkte asynchrone Vorgänge zum Überschreiben früherer Kundenbestellungen.
2.4.7-p5
Die Adobe Commerce-Sicherheitsversion 2.4.7-p5 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-26.
Highlights
Das Tool System > Support > Data Collector Support wurde entfernt, um nicht autorisierten Zugriff zu verhindern und die Plattformsicherheit zu verbessern.
Mit dieser Version wird auch die Unterstützung für die Adobe Commerce HIPAA-fähige Erweiterung eingeführt.
Bekannte Probleme
Problem: Bei der Installation von 2.4.7-p5 mit PHP 8.2 oder höher installiert das System paypal/module-braintree Version 4.7.0, die für 2.4.8 und höher vorgesehen ist. Für PHP 8.1 wird die richtige Braintree-Version 4.6.1-p5 verwendet. Diese Diskrepanz ist auf die lose Abhängigkeit von adobe-commerce/extensions-metapackage: ~2.0 im Metapaket zurückzuführen. Dies wirkt sich auf die Kompatibilität und den unterstützten Funktionssatz für PHP 8.2±Bereitstellungen aus.
Darüber hinaus kann für die Versionen 2.4.7-p3, 2.4.7-p4 und 2.4.7-p5 die Braintree-Erweiterungsversion 4.6.1-p5 installiert werden, während einige Anwender 4.6.1-p3 oder p4 erwarten, da frühere strengere Abhängigkeiten gelockert wurden, um Erweiterungs-Upgrades innerhalb einer Release-Zeile zu ermöglichen.
Problemumgehung: Um sicherzustellen, dass Sie die richtige Braintree-Version für Ihre PHP-Version haben, führen Sie composer update aus, um die entsprechende Version zu installieren, wie es die adobe-commerce/extensions-metapackage:2.0.0-Abhängigkeit vorschreibt.
2.4.7-p4
Die Adobe Commerce-Version 2.4.7-p4 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-08.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.
Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.
-
Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.
Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie „KnowledgeBase-Artikel“
-
TinyMCE-: Die TinyMCE-Abhängigkeit wurde von Version 7 auf 6.8.5 heruntergestuft, um Probleme mit der Lizenzkompatibilität zu beheben.
Durch diese Änderung wird die kontinuierliche Konformität sichergestellt, während Adobe einen alternativen Open-Source-WYSIWYG-Editor evaluiert.
2.4.7-p3
Die Adobe Commerce-Sicherheitsversion 2.4.7-p3 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-73.
Highlights
Diese Version umfasst die folgenden Highlights:
-
TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3).
-
TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt
-
Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
-
Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).
-
Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
In dieser Version enthaltene Hotfixes
Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.
Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.
2.4.7-p2
Die Adobe Commerce-Version 2.4.7-p2 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-61.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:
- Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
- Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)
Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden unter > 2FA Konfigurationshandbuch.
-
Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".
-
Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.
-
Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“
In dieser Version enthaltene Hotfixes
Diese Version enthält die folgenden Hotfixes:
-
Hotfix zur Behebung eines JavaScript-Fehlers, der verhinderte, dass Google Maps im PageBuilder-Editor ordnungsgemäß gerendert wurden. Weitere Informationen finden Sie Artikel „Überarbeitete Patches für Google Maps - Zugriffsverlust auf alle Adobe CommerceVersionen“ in der Wissensdatenbank.
-
Hotfix zum Beheben eines JSON Web Token (JWT)-Validierungsproblems im Zusammenhang mit CVE-2024-34102. Einzelheiten finden Sie im Sicherheits-Update verfügbar für Adobe Commerce-APSB2440) in der Wissensdatenbank.
2.4.7-p1
Die Sicherheitsversion 2.4.7-p1 von Adobe Commerce bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.7 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB24-40.
Hotfix für CVE-2024-34102 anwenden
Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:
Option 1:
Option 2:
-
Aufkleben isolierten Pflasters.
-
Drehen Verschlüsselungsschlüssel.
Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:
Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:
- Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Aktualisieren Einstellungen für einmaliges Kennwort (OTP) für Google Authenticator-Dieses Update ist erforderlich, um einen Fehler zu beheben, der durch eine abwärtsinkompatible Änderung in 2.4.7 eingeführt wurde. Die Beschreibung des Felds OTP Window bietet nun eine genaue Erklärung der Einstellung, und der Standardwert wurde von
1in29geändert. -
B2B-Versionskompatibilität - Zur Kompatibilität mit Commerce Version 2.4.7-p1 müssen Händler, die die Adobe Commerce B2B-Erweiterung haben, ein Upgrade auf B2B Version 1.4.2-p1 durchführen.
In dieser Version enthaltene Hotfixes
Adobe Commerce 2.4.7-p1 löst ein Problem, das im Rahmen der UPS-Integrationsmigration von der SOAP zur REST-API eingeführt wurde. Dieses Problem betraf Kunden, die außerhalb der USA versenden, und hinderte sie daran, die metrischen System-/SI-Messungen von Kilogramm und Zentimeter für Pakete zu verwenden, um Sendungen mit UPS zu erstellen. Weitere Informationen finden Sie Knowledgebase-Artikel zur Migration der UPS-Versandmethodenintegration von SOAP RESTful-API.