Notas de la versión de los parches de seguridad de Adobe Commerce 2.4.3
Estas notas de la versión del parche de seguridad capturan actualizaciones para mejorar la seguridad de su implementación de Adobe Commerce. La información incluye, entre otras cosas, lo siguiente:
- Correcciones de errores de seguridad
- Elementos destacados de seguridad que proporcionan más detalles sobre las mejoras y actualizaciones incluidas en el parche de seguridad
- Problemas conocidos
- Instrucciones para aplicar parches adicionales si es necesario
- Información acerca de las correcciones rápidas incluidas en la versión
Obtenga más información sobre las versiones de parches de seguridad:
Adobe Commerce 2.4.3-p3
La versión de seguridad de Adobe Commerce 2.4.3-p3 proporciona correcciones de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.3. Esta versión también incluye mejoras de seguridad que mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB22-38.
Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista
DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte el artículo de la base de conocimiento Aplicar un parche para seguir ofreciendo DHL como transportista para obtener información sobre cómo descargar e instalar el parche.
Aspectos destacados de seguridad
- Los recursos ACL se han agregado al inventario.
- Se ha mejorado la seguridad de la plantilla de inventario.
Adobe Commerce 2.4.3-p2
La versión de seguridad de Adobe Commerce 2.4.3-p2 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad que mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB22-13. La versión del parche también resuelve la vulnerabilidad a la que se refieren MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch y MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.
Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista
DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte el artículo de la base de conocimiento Aplicar un parche para seguir ofreciendo DHL como transportista para obtener información sobre cómo descargar e instalar el parche.
Aspectos destacados de seguridad
-
El uso de variables de correo electrónico volvió a quedar obsoleto en la versión 2.3.4 como parte de una mitigación del riesgo de seguridad en favor de una sintaxis de variables más estricta. Este comportamiento heredado se ha eliminado por completo en esta versión como continuación de la mitigación de riesgos de seguridad.
Como resultado, es posible que las plantillas de correo electrónico o de newsletter que funcionaban en versiones anteriores no funcionen correctamente después de actualizar a Adobe Commerce 2.4.3-p2. Las plantillas afectadas incluyen invalidaciones de administración, temáticas, temáticas secundarias y plantillas de módulos personalizados o extensiones de terceros. Su implementación puede verse afectada incluso después de usar la herramienta de compatibilidad de actualización para corregir usos obsoletos. Consulte Migración de plantillas de correo electrónico personalizadas para obtener información sobre posibles efectos y directrices para migrar plantillas afectadas.
-
Los tokens de acceso de OAuth y los tokens de restablecimiento de contraseña ahora se cifran cuando se almacenan en la base de datos.
-
La validación se ha reforzado para evitar la carga de extensiones de archivo no alfanuméricas.
-
Swagger ahora está desactivado de forma predeterminada cuando Adobe Commerce está en modo de producción.
-
Los desarrolladores ahora pueden configurar el límite de tamaño de las matrices aceptadas por los extremos RESTful de Adobe Commerce en función del extremo. Ver seguridad de API.
-
Se han añadido mecanismos para limitar el tamaño y el número de recursos que un usuario puede solicitar a través de una API web en todo el sistema y para anular los valores predeterminados en módulos individuales. Esta mejora resuelve el problema resuelto por
MC-43048__set_rate_limits__2.4.3.patch. Ver seguridad de API.
2.4.3-p1
La versión de seguridad de Adobe Commerce 2.4.3-p1 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en la versión anterior (Adobe Commerce 2.4.3 y Magento Open Source 2.4.3). Esta versión también incluye mejoras de seguridad que mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.
Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB21-86. La versión del parche también proporciona correcciones de errores para las extensiones desarrolladas por el proveedor Braintree, Klarna y Vertex.
Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista
DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte el artículo de la base de conocimiento Aplicar un parche para seguir ofreciendo DHL como transportista para obtener información sobre cómo descargar e instalar el parche.
Revisiones
Esta versión incluye la siguiente revisión y todas las revisiones publicadas para la versión anterior del parche.
- Parche
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Consulte el artículo de la base de conocimiento Actualización de Adobe Commerce 2.4.3, 2.3.7-p1 Error grave de PHP para obtener información sobre el parche y el problema.
Aspectos destacados de seguridad
Se han eliminado ID de sesión de la base de datos. Este cambio de código puede provocar cambios importantes si los comerciantes tienen personalizaciones o extensiones instaladas que utilizan los ID de sesión sin procesar almacenados en la base de datos.
Acceso de administrador restringido a las carpetas de la Galería multimedia. Los permisos predeterminados de la Galería multimedia ahora solo permiten operaciones de directorio (ver, cargar, eliminar y crear) permitidas explícitamente por la configuración. Los usuarios administradores ya no pueden acceder a los recursos multimedia a través de la Galería multimedia que se cargaron fuera de los directorios catalog/category o wysiwyg. Los administradores que deseen acceder a los recursos de medios deben moverlos a una carpeta permitida explícitamente o ajustar su configuración. Ver Modificar permisos de carpeta de Media Library.
Límites reducidos a la complejidad de las consultas de GraphQL. Se ha reducido la complejidad máxima de consulta permitida de GraphQL para evitar ataques de denegación de servicio (DOS). Ver configuración de seguridad de GraphQL.
Las vulnerabilidades recientes de la prueba de penetración se han corregido en esta versión.
La expresión de origen no admitida unsafe-inline se ha quitado de la directiva de la directiva de la directiva de seguridad de contenido frame-ancestors. GitHub-33101