Notas de la versión de Adobe Commerce 2.4.3-p1

Adobe Commerce 2.4.3-p1 es una versión de seguridad que proporciona siete correcciones de seguridad que mejoran la implementación de Adobe Commerce 2.4.3 o Magento Open Source 2.4.3. Proporciona correcciones para las vulnerabilidades identificadas en la versión anterior (Adobe Commerce 2.4.3 y Magento Open Source 2.4.3).

NOTE
Las versiones de Adobe Commerce pueden contener cambios incompatibles con versiones anteriores (BIC). Para revisar los cambios incompatibles con versiones anteriores, consulte Referencia BIC. Los principales problemas incompatibles con versiones anteriores se describen en Puntos destacados de BIC. No todas las versiones introducen BIC importantes.

Aplicar AC-3022.patch para seguir ofreciendo DHL como transportista

DHL ha introducido la versión de esquema 6.2 y dejará de utilizar la versión de esquema 6.0 en un futuro próximo. Adobe Commerce 2.4.4 y las versiones anteriores compatibles con la integración de DHL solo admiten la versión 6.0. Los comerciantes que implementen estas versiones deben aplicar AC-3022.patch lo antes posible para seguir ofreciendo DHL como transportista. Consulte la Aplicar un parche para seguir ofreciendo DHL como transportista Artículo de Knowledge Base para obtener información sobre cómo descargar e instalar el parche.

¿Qué incluye esta versión?

Este parche de seguridad incluye:

  • Todas las revisiones publicadas para la versión anterior del parche
  • Mejoras de seguridad
  • Siete correcciones de errores de seguridad. Solo una de estas siete correcciones es una vulnerabilidad registrada de forma externa. Las correcciones para vulnerabilidades notificadas de forma externa se documentan en la Boletín de seguridad del Adobe.
  • Correcciones de errores para Braintree, Klarna, y Vértice extensiones desarrolladas por el proveedor.

Revisiones

Esta versión incluye la siguiente revisión:

Aspectos destacados de seguridad

Los ID de sesión se han eliminado de la base de datos. Este cambio de código puede provocar cambios importantes si los comerciantes tienen personalizaciones o extensiones instaladas que utilizan los ID de sesión sin procesar almacenados en la base de datos.

Acceso de administrador restringido a las carpetas de la Galería multimedia. Los permisos predeterminados de la Galería multimedia ahora solo permiten operaciones de directorio (ver, cargar, eliminar y crear) permitidas explícitamente por la configuración. Los usuarios administradores ya no pueden acceder a los recursos multimedia a través de la Galería multimedia que se cargaron fuera de catalog/category o wysiwyg directorios. Los administradores que deseen acceder a los recursos de medios deben moverlos a una carpeta permitida explícitamente o ajustar su configuración. Consulte Modificar permisos de carpeta de Media Library.

Límites reducidos a la complejidad de las consultas GraphQL. Se ha reducido la complejidad máxima de consulta permitida de GraphQL para evitar ataques de denegación de servicio (DOS). Consulte Configuración de seguridad de GraphQL.

Vulnerabilidades recientes en las pruebas de penetración se han corregido en esta versión.

La expresión de origen no admitida unsafe-inline se ha eliminado de la directiva de seguridad de contenido frame-ancestors Directiva. GitHub-33101

Instrucciones de instalación y actualización

Para obtener instrucciones sobre cómo descargar y aplicar parches de seguridad (incluido el parche 2.4.3-p1), consulte Instalación rápida de.

¿Más información?

Para obtener información general sobre los parches de seguridad, consulte Presentación de la nueva versión del parche de seguridad.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f