Parche de seguridad disponible

Los comerciantes ahora pueden instalar correcciones de seguridad urgentes sin aplicar los cientos de correcciones y mejoras funcionales que ofrece una versión trimestral completa (por ejemplo, 2.4.0-p1). El parche 2.4.0.1 (Composer package 2.4.0-p1) es un parche de seguridad que proporciona correcciones para vulnerabilidades que se han identificado en nuestra versión trimestral anterior, 2.4.0. Todas las correcciones rápidas aplicadas a la versión 2.4.0 se incluyen en este parche de seguridad. (Una corrección rápida proporciona una corrección de una versión publicada que soluciona un problema o error específico).

Para obtener información general acerca de los parches de seguridad, consulte Presentación de la nueva versión de parches de seguridad. Para obtener instrucciones sobre cómo descargar y aplicar parches de seguridad (incluido el parche 2.3.5-p2), consulte Instalación rápida local. Los parches de seguridad solo incluyen correcciones de errores de seguridad, no las mejoras de seguridad adicionales que se incluyen en el parche completo.

Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista

DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte el artículo de la base de conocimiento Aplicar un parche para seguir ofreciendo DHL como transportista para obtener información sobre cómo descargar e instalar el parche.

Otra información de la versión

Aunque el código de estas funciones está empaquetado con versiones trimestrales , varios de estos proyectos (por ejemplo, Progressive Web Application (PWA) Studio) también se publican de forma independiente. Las correcciones de errores para estos proyectos se documentan en la información de versión independiente y específica del proyecto que está disponible en la documentación de cada proyecto.

Características destacadas

Busque los siguientes aspectos destacados en esta versión.

Mejoras sustanciales de seguridad

Esta versión incluye más de 15 correcciones de seguridad y mejoras de seguridad de la plataforma. Todas las correcciones de seguridad se han trasladado a 2.4.0-p1 y 2.3.6.

Más de 15 mejoras de seguridad que ayudan a cerrar las vulnerabilidades de ejecución de código remoto (RCE) y ejecución de scripts en sitios múltiples (XSS)

Hasta la fecha no se han producido ataques confirmados relacionados con estos problemas. Sin embargo, es posible que se aprovechen ciertas vulnerabilidades para acceder a la información de los clientes o hacerse cargo de las sesiones de administrador. La mayoría de estos problemas requieren que un atacante obtenga acceso primero al administrador. Como resultado, le recordamos que tome todas las medidas necesarias para proteger a su administrador, entre las que se incluyen, entre otras, las siguientes: inclusión en la lista de permitidos de IP, autenticación de doble factor, uso de una VPN, uso de una ubicación única en lugar de /admin y buena higiene de la contraseña. Consulte Actualizaciones de seguridad disponibles para el Magento para ver una discusión de estos problemas corregidos.

Mejoras de seguridad adicionales

Las mejoras de seguridad para esta versión incluyen:

  • Se ha agregado la protección CAPTCHA a las siguientes áreas de producto:

    • Página de ubicación de la tienda de pedidos y puntos finales de REST y GraphQL
    • Puntos finales de REST y GraphQL relacionados con el pago.

    La protección CAPTCHA para estas páginas adicionales está desactivada de forma predeterminada. Puede habilitarse en el administrador del mismo modo que otras páginas cubiertas por CAPTCHA. Esta protección se ha añadido como mecanismo de fuerza antibruta para proteger las tiendas contra ataques de carding. Ver CAPTCHA.

  • Compatibilidad con el atributo SameSite para las cookies. Para admitir la aplicación Chrome de Google del nuevo sistema de clasificación de cookies, se han actualizado las clases de aplicación que administran cookies para admitir el atributo de cookie SameSite. Este atributo está establecido en Lax de manera predeterminada, pero se puede anular explícitamente.

  • Herramienta de análisis de seguridad mejorada. El Adobe se ha asociado con Sanguine Security, líder en la prevención del robo digital, para integrar su base de datos de más de 8700 firmas de amenazas en el Escáner de seguridad. Esta asociación permitirá a los comerciantes obtener información en tiempo real sobre el estado de seguridad de su sitio a través de la detección proactiva de malware y la reducción de falsos positivos. Los comerciantes pueden registrarse en la herramienta visitando https://account.magento.com/scanner. Para obtener más información, consulta la publicación de blog Proteger tu tienda con la herramienta de análisis de seguridad mejorada.

NOTA
A partir de la versión 2.3.2 de, asignaremos y publicaremos números de Vulnerabilidades comunes y exposiciones (CVE) indexados con cada error de seguridad que nos comuniquen partes externas. Esto permite a los usuarios identificar con mayor facilidad las vulnerabilidades sin solucionar en su implementación. Puede obtener más información sobre los identificadores CVE en CVE.

Mejoras de infraestructura

Esta versión incluye mejoras en la calidad principal, que mejoran la calidad del marco de trabajo y estas áreas funcionales: Cuenta de cliente, Catálogo, CMS, OMS, Importar/Exportar, Promociones y objetivos, Carro y cierre de compra, y Ensayo y vista previa.

Mejoras de rendimiento

  • Reducción del tamaño de las transferencias de red entre Redis y el Magento. La configuración de la lista de complementos ahora se genera durante la ejecución del comando bin/magento di:compile. Esta información de configuración se escribe en carpetas de metadatos generadas en función del ámbito. Anteriormente, esta información se almacenaba en la caché. Las mejoras de rendimiento resultantes incluyen una disminución en el tamaño de la caché de red y el tiempo de ejecución para muchos escenarios.

  • Rendimiento mejorado del consumidor de la cola de mensajes. Tres nuevos ajustes de configuración admiten una disminución del consumo de CPU en cola de consumo. Estos parámetros opcionales proporcionan un mayor control sobre los consumidores y ahorran recursos de servidor. Consulte Configurar colas de mensajes para obtener una descripción de los parámetros maxIdleTime, sleep y onlySpawnWhenMessageAvailable.

  • Tiempo de ejecución mejorado para bin/magento comandos.

Integración de Adobe Stock

Esta versión incluye Adobe Stock Integration v2.1.0.

Galería de medios nuevos

La Galería de nuevos medios ahora está habilitada de forma predeterminada en el Administrador. Los comerciantes ahora pueden realizar estas acciones en las imágenes de la Galería multimedia:

  • Eliminar imágenes de forma masiva

  • Optimice el almacenamiento de medios identificando imágenes duplicadas e imágenes que no se usan en la tienda

  • Filtre imágenes por el área de tienda en la que se utilizan, incluido el contenido de productos y categorías y los bloques de CMS

  • Trabajo con metadatos de imagen

    • Ver metadatos de las imágenes cargadas en la Galería multimedia
    • Editar metadatos de imagen (título, descripción y palabras clave)
    • Buscar imágenes según sus metadatos

GraphQL

Esta versión añade cobertura de GraphQL para las siguientes funciones:

  • Críticas de productos. Los clientes y los huéspedes pueden escribir comentarios sobre los productos. Los clientes pueden recuperar sus historiales de críticas de productos. Consulte Crear una revisión de producto y productReviewRatingsMetadata query para obtener información sobre cómo recuperar información sobre la infraestructura de revisiones.

  • Opciones de regalo. Todos los clientes e invitados pueden agregar un mensaje de regalo a su pedido. Los clientes también pueden agregar envoltorios para regalos, recibos de regalos y tarjetas impresas al pedido. Ver setGiftOptionsOnCart mutación y updateCartItems mutación

  • Historial de pedidos. Todos los clientes pueden ver los detalles de sus historiales de pedidos, incluidas las facturas, los envíos y los reembolsos.

  • Agregar al carro. La mutación addProductsToCartle permite agregar cualquier tipo de producto al carro de compras activo. Se recomienda usar esta mutación en lugar de mutaciones de un solo propósito como addSimpleProductsToCart. Corrección enviada por Yaroslav Rogoza en la solicitud de extracción 27914. GitHub-28524

  • Métodos de pago almacenados. Los clientes que iniciaron sesión ahora pueden almacenar los datos de pago (incluida la tarjeta de crédito del Braintree y el Braintree con PayPal) en Mi cuenta.

  • Compatibilidad con listas de deseos en el Magento Open Source. Puede agregar elementos a, actualizar elementos en y quitar elementos de una lista de artículos deseados.

  • Se mejoró la administración de cuentas de clientes. Hemos agregado las mutaciones createCustomerV2 y updateCustomerV2 para administrar las cuentas de cliente. Estas nuevas mutaciones requieren objetos de entrada diferentes a las mutaciones createCustomer y updateCustomer. Para cambiar la dirección de correo electrónico de un cliente, use la nueva mutación updateCustomerEmail.

  • Soporte para Payflow Pro Vault. Se ha agregado compatibilidad con GraphQL Vault para el método de pago Payflow Pro Vault. Corrección enviada por Oleh Usik en la solicitud de extracción 28821. GitHub-28520

  • Se ha actualizado la consulta storeConfigde GraphQL para incluir nuevas opciones de configuración de cliente. Corrección enviada por Oleh Usik en la solicitud de extracción 27876. GitHub-28521

  • Se agregó la mutación requestPasswordResetEmail, que almacena en déclencheur el correo electrónico de restablecimiento de contraseña para la dirección de correo electrónico proporcionada. Corrección enviada por Oleh Usik en la solicitud de extracción 27876. GitHub-28521

  • Klarna GraphQL. Se agregaron o actualizaron temas sobre Klarna GraphQL en método de pago de Klarna y createKlarnaPaymentsSession

Consulte la Guía para desarrolladores de GraphQL para obtener más información sobre estas mejoras.

PWA Studio

La versión 8.0.0 de PWA Studio presenta nuevas funciones y mejoras:

  • Actualizaciones de la guía de estilo de Venia que se aplican a tokens de diseño, tipografía, colores, componentes principales y diseños de página.

  • Mejoras en la experiencia del minicarrito de Venia

  • Compatibilidad inicial con varias configuraciones regionales y contenido localizado en la tienda Venia

  • Numerosas mejoras en la experiencia Mi cuenta de la tienda Venia

Consulte compatibilidad para obtener una lista de versiones de PWA Studio y sus versiones compatibles. Para obtener información acerca de mejoras y correcciones de errores, consulte Versiones de PWA Studio.

Marco de prueba funcional (MFTF)

MFTF 3.1.0 ya está disponible. Consulte Registro de cambios del marco de prueba funcional.

Extensiones desarrolladas por el proveedor

Consulte los siguientes artículos para obtener actualizaciones sobre las funciones y los cambios de esta versión:

Problemas solucionados

Hemos corregido cientos de problemas en el código principal 2.4.1.

Instalación, actualización e implementación

  • La instalación con extensiones de terceros que dependen de las API para el módulo Almacenar en comandos CLI ya no falla. Anteriormente, la aplicación mostraba este mensaje de error: The default website isn't defined. Set the website and try again. Este era un problema conocido en 2.4.0.
  • bin/magento setup:di:compile ya no genera un error irrecuperable. Anteriormente, la aplicación generaba un error la primera vez que se ejecutaba este comando, pero la segunda ejecución resultaba en una compilación correcta.
  • La actualización ya no falla cuando se declara un complemento en Magento\Framework\Encryption\Encryptor.
  • La aplicación ahora muestra un mensaje de error informativo cuando algunos temas no se implementan después de ejecutar bin/magento setup:static-content:deploy. Anteriormente, cuando la implementación se completaba correctamente pero no se implementaban todos los paquetes, la aplicación no mostraba un error. Cuando el comando se ejecuta con un procesamiento paralelo habilitado y cada tema requiere más tiempo para implementarse que el tiempo de ejecución máximo especificado, este comando puede finalizar correctamente, aunque los temas no se implementan.
  • La casilla de verificación Usar valor predeterminado para los pagos de Klarna (Tiendas > Configuración > Ventas > Métodos de pago > Klarna) ahora permanece activada como se espera cuando cambia el ámbito del sitio web.
  • La actualización ya no provoca el fallo repentino del clúster de Galera. Anteriormente, el clúster de Galera se cerraba abruptamente tras la reindexación inmediatamente después de la actualización. Durante una actualización, las tablas de índice se modifican y el motor se cambia de MEMORY a InnoDB. En este punto, el contenido de estas tablas se desincronizó entre los nodos del clúster de Galera. GitHub-25334
  • La desactivación del módulo PageBuilder ya no afecta a la representación de la página del producto. Anteriormente, los diseños personalizados de la página de producto desaparecían cuando se deshabilitaba el módulo y la aplicación mostraba una página en blanco.
  • Ahora puede usar bin/magento sampledata:deploy para implementar datos de ejemplo como se espera después de instalar Magento Open Source mediante Composer. Anteriormente, la aplicación arrojó este error: Git installations must deploy sample data from GitHub; see [Clone sample data Git repositories](../../../installation/sample-data/git-repositories.md) for more information. Corrección enviada por Andrii Beziazychnyi en la solicitud de extracción 27481. GitHub-19481
  • El rendimiento de la tienda ha mejorado al eliminar la carga innecesaria del componente Datepicker. Corrección enviada por Mateusz Krzeszowiak en la solicitud de extracción 27860. GitHub-28823
  • Al ejecutar bin/magento setup:upgrade, ya no se muestra información superflua sobre las cachés. Corrección enviada por Sathish Subramanian en la solicitud de extracción 27567. GitHub-27091
  • La ejecución de bin/magento config:show <vendor_module>/general/value ahora devuelve 0 o una cadena vacía como se esperaba. Anteriormente, devolvió Configuration for path: "vendor_module/general/value" doesn't exist. Corrección enviada por Vadim Malesh en la solicitud de extracción 28549. GitHub-23290
  • bin/magento setup:static-content:deploy --language=all ahora implementa todos los idiomas que se usan en la tienda y todos los idiomas configurados por los usuarios administradores cuando no se establece ningún parámetro de idioma. (en_US siempre se implementa de forma predeterminada). Corrección enviada por Anton Evers en la solicitud de extracción 28922. GitHub-29218
  • La aplicación ya no muestra el menú Copia de seguridad cuando la función Copia de seguridad está desactivada. Corrección enviada por Eden Duong en la solicitud de extracción 29222. GitHub-29280
  • La inicialización del asistente de imagen de catálogo ahora utiliza el modelo de producto en lugar de DataObject. Corrección enviada por jmonteros422 en la solicitud de extracción 29435. GitHub-1711
  • Los usuarios administradores ahora pueden guardar un campo vacío de Duración del token del cliente (horas) (Administradores Tiendas > Configuraciones > Servicios > OAuth > Caducidad del token de acceso). GitHub-29502
  • La configuración Crear redireccionamiento permanente para la URL antigua ahora está deshabilitada de manera predeterminada para las categorías. Corrección enviada por Vadim Malesh en la solicitud de extracción 28752. GitHub-24922