Versionshinweise für Adobe Commerce 2.4.8-Sicherheits-Patches
Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerbehebungen bei der Sicherheit
- Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu allen in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Überblick über Adobe Commerce Security-Patch-Versionen
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie in der So rufen Sie Sicherheits-Patches ab und wenden in der Adobe Commerce Knowledgebase.
2.4.8-p3
Die Adobe Commerce-Version 2.4.8-p3 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.8 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-94.
Highlights
Diese Version umfasst die folgenden Highlights:
-
Korrektur für CVE-2025-54236, um eine REST-API-Schwachstelle zu beheben. Adobe hat im September 2025 einen Hotfix für dieses Problem veröffentlicht. Weitere Informationen finden Sie Knowledgebase-Artikel „Action required: Critical Security Update Available for Adobe Commerce (APSB2588)
-
Entwicklerinnen und Entwickler müssen die Validierung der Konstruktorparameter der REST-API überprüfen, um zu erfahren, wie Erweiterungen aktualisiert werden können, damit sie mit diesen Sicherheitsänderungen konform sind.
-
Fehlerbehebung für ACP2E-3874: Die REST-API-Antwort für Auftragsdetails enthält jetzt korrekte Werte für
base_row_total- undrow_total-Attribute, falls mehrere gleiche Artikel bestellt wurden. -
Fehlerbehebung für AC-15446: Es wurde ein Fehler in
Magento\Framework\Mail\EmailMessagebehoben, bei demgetBodyText()versuchte, eine nicht vorhandenegetTextBody()Methode inSymfony\Component\Mime\Messageaufzurufen, um die Kompatibilität mit Magento 2.4.8-p2 undmagento/framework103.0.8-p2 sicherzustellen. -
Migration von TinyMCE zu Hugerte.org
Aufgrund des Auslaufens der Unterstützung für TinyMCE 5 und 6 und der Lizenzierungsinkompatibilitäten mit TinyMCE 7 wird die aktuelle Implementierung des Adobe Commerce WYSIWYG Editors von TinyMCE in den Open-Source-Editor HugeRTE Editor migriert.
Diese Migration stellt sicher, dass Adobe Commerce weiterhin mit der Open-Source-Lizenzierung konform ist, bekannte TinyMCE 6-Schwachstellen vermeidet und Händlern und Entwicklern ein modernes, unterstütztes Bearbeitungserlebnis bietet.
-
Unterstützung für das Apache ActiveMQ Artemis STOMP-Protokoll wurde hinzugefügt
Unterstützung für ActiveMQ Artemis Open-Source-Nachrichtenbroker durch das Simple Text Oriented Messaging Protocol (STOMP) wurde hinzugefügt. Es bietet ein zuverlässiges und skalierbares Messaging-System, das Flexibilität für STOMP-basierte Integrationen bietet. Siehe Apache ActiveMQ Artemis im Commerce-Konfigurationshandbuch.
Bekannte Probleme
Die Checkout-Seite kann static.min.js und mixins.min.js nicht laden.
Nach den letzten CSP-/SRI-Änderungen werden static.min.js und mixins.min.js nicht auf der Checkout-Seite geladen, wenn sowohl die JavaScript-Bündelung als auch die Minimierung im Produktionsmodus aktiviert sind. Daher werden RequireJS-Mixins nicht ausgeführt und Checkout-Knockout-Vorlagen können nicht aufgelöst werden (z. B. "Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'").
Workaround:
- JavaScript-Bundle deaktivieren oder
- Wenn Sie die JavaScript-Bündelung aktiviert lassen, deaktivieren Sie die JavaScript-Minimierung.
Hotfix:
Ein Hotfix ist verfügbar. Weitere finden Sie in der Wissensdatenbank unter Checkout schlägt fehl, wenn die JSMinimierung und -Bündelung aktiviert sind.
2.4.8-p2
Die Adobe Commerce-Version 2.4.8-p2 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.8 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-71.
2.4.8-p1
Die Adobe Commerce-Version 2.4.8-p1 bietet Sicherheitsfehlerbehebungen für Sicherheitslücken, die in früheren Versionen von 2.4.8 identifiziert wurden.
Die neuesten Informationen zu den Sicherheitsfehlerbehebungen finden Sie im Adobe-Sicherheitsbulletin APSB25-50.
Highlights
Diese Version umfasst die folgenden Highlights:
-
API-Leistungsverbesserung: Behebt die Leistungsbeeinträchtigung bei asynchronen Web-API-Endpunkten, die nach dem vorherigen Sicherheits-Patch eingeführt wurden.
-
CMS blockiert den Zugriff - Löst ein Problem, bei dem Admin-Benutzer mit eingeschränkten Berechtigungen (z. B. Nur-Merchandising-Zugriff) die CMS Blocks nicht anzeigen konnten.
Zuvor trat bei diesen Benutzern ein Fehler aufgrund fehlender Konfigurationsparameter nach der Installation früherer Sicherheits-Patches auf.
-
Cookie-Kompatibilität - Löst eine abwärtsinkompatible Änderung auf, die die
MAX_NUM_COOKIESim Framework betrifft. Diese Aktualisierung stellt das erwartete Verhalten wieder her und stellt die Kompatibilität für Erweiterungen oder Anpassungen sicher, die mit Cookie-Beschränkungen interagieren. -
Async-Vorgänge - Eingeschränkte asynchrone Vorgänge zum Überschreiben früherer Kundenbestellungen.
-
Behebung für CVE-2025-47110 - Behebt eine Sicherheitslücke bei E-Mail-Vorlagen.
-
Fehlerbehebung für VULN-31547 - Behebt eine Schwachstelle bei kanonischen Links der Kategorie.
Die Fehlerbehebungen für CVE-2025-47110 und VULN-31547 sind auch als isolierter Patch verfügbar. Weitere Informationen finden im Artikel Wissensdatenbank“.