Documentación Commerce Información de versión

Notas de la versión de parches de seguridad de Adobe Commerce 2.4.6

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Temas:

Creado para:

Experimentado
Administrador
Desarrollador

Estas notas de la versión del parche de seguridad capturan actualizaciones para mejorar la seguridad de su implementación de Adobe Commerce. La información incluye, entre otras cosas, lo siguiente:

Correcciones de errores de seguridad
Elementos destacados de seguridad que proporcionan más detalles sobre las mejoras y actualizaciones incluidas en el parche de seguridad
Problemas conocidos
Instrucciones para aplicar parches adicionales si es necesario
Información acerca de las correcciones rápidas incluidas en la versión

Obtenga más información sobre las versiones de parches de seguridad:

Información general sobre versiones de parches de seguridad de Adobe Commerce
Las instrucciones para descargar y aplicar revisiones de seguridad están disponibles en Guía de actualización

2.4.6-p8

La versión de seguridad de Adobe Commerce 2.4.6-p8 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.6.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-73.

NOTE

Después de instalar este parche de seguridad, los comerciantes de Adobe Commerce B2B también deben actualizar a la última versión del parche de seguridad B2B compatible. Ver notas de la versión B2B.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

Actualización de TinyMCE: el editor de WYSIWYG del administrador ahora usa la última versión de la dependencia de TinyMCE (7.3).
- TinyMCE 7.3 ofrece una experiencia de usuario mejorada, una mejor colaboración y una mayor eficiencia. TinyMCE 5 se ha eliminado en la línea de versión 2.4.8
- Dado que se informó de una vulnerabilidad de seguridad (CVE-2024-38357) en TinyMCE 5.10, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2,4,5-p10
  - 2.4.4-p11
Requerir actualización.js: Adobe Commerce ahora utiliza la última versión de Requerir.js (2.3.7).
- Dado que se notificó una vulnerabilidad de seguridad (CVE-2024-38999) en Require.js 2.3.6, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2,4,5-p10
  - 2.4.4-p11

NOTE

Estas actualizaciones son compatibles con versiones anteriores y no deben afectar a las personalizaciones y extensiones

Revisiones incluidas en esta versión

Esta versión incluye una revisión para resolver un problema con la pasarela de pago del Braintree.

El sistema ahora incluye los campos necesarios para cumplir con los requisitos del mandato VISA 3DS cuando se utiliza el Braintree como pasarela de pago. Esto garantiza que todas las transacciones cumplan con los últimos estándares de seguridad establecidos por VISA. Anteriormente, estos campos adicionales no se incluían en la información de pago enviada, lo que podría haber llevado al incumplimiento de los nuevos requisitos de VISA.

2.4.6-p7

La versión de seguridad de Adobe Commerce 2.4.6-p7 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.6.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-61.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

Limitación de velocidad paraone-time passwords: las siguientes nuevas opciones de configuración del sistema ya están disponibles para habilitar la limitación de velocidad en la validación de two-factor authentication (2FA) one-time password (OTP):
- Límite de intentos de reintento para autenticación de doble factor
- Tiempo de bloqueo de autenticación de doble factor (segundos)
El Adobe recomienda establecer un umbral para la validación de OTP 2FA a fin de limitar el número de intentos de reintento para mitigar los ataques de fuerza bruta. Consulte Seguridad > 2FA en la Guía de referencia de configuración para obtener más información.
Rotación de clave de cifrado: ya está disponible un nuevo comando de CLI para cambiar la clave de cifrado. Consulte el artículo de la Solución de problemas con la rotación de clave de cifrado: CVE-2024-34102 Knowledge Base para obtener más información.
Corrección para CVE-2020-27511: resuelve una vulnerabilidad de seguridad de Prototype.js.
Corrección para CVE-2024-39397: resuelve una vulnerabilidad de seguridad de ejecución de código remoto. Esta vulnerabilidad afecta a los comerciantes que utilizan el servidor web Apache para implementaciones locales o autoalojadas. Esta corrección también está disponible como parche aislado. Consulte la actualización de seguridad disponible para Adobe Commerce - APSB24-61 Artículo de la base de conocimiento para obtener más información.

Revisiones incluidas en esta versión

Esta versión de incluye las siguientes revisiones:

Revisión para resolver un error de JavaScript que impedía que Google Maps se representara correctamente en el editor PageBuilder. Consulte los parches revisados para la pérdida de acceso a Google Maps en todas las versiones de Adobe Commerce artículo de la Base de conocimiento para obtener más información.
Revisión para resolver un problema de validación de token web JSON (JWT) relacionado con CVE-2024-34102. Consulte la actualización de seguridad disponible para Adobe Commerce-APSB24-40 Artículo de la base de conocimiento para obtener más detalles.

2.4.6-p6

La versión de seguridad de Adobe Commerce 2.4.6-p6 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.6.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-40.

Para ser compatibles con Commerce versión 2.4.6-p6, los comerciantes que tengan la extensión Adobe Commerce B2B deben actualizar a B2B versión 1.4.2-p1.

Aplicar revisión para CVE-2024-34102

IMPORTANT

Esta es una actualización urgente de nuestra última comunicación con respecto a CVE-2024-34102. El Adobe es consciente de que CVE-2024-34102 ha sido explotado en su hábitat natural en ataques muy limitados dirigidos a comerciantes de Adobe Commerce. Tome medidas inmediatas para resolver la vulnerabilidad, si no lo ha hecho.

Para clientes que no han aplicado el parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

Opción 1:

Aplique uno de los parches de seguridad publicados el 11 de junio de 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Aplicar la revisión publicada el 17 de julio de 2024.
Rotar claves de cifrado.

Opción 2:

Aplicar el parche aislado.
Rotar claves de cifrado.

Para clientes que ya han aplicado un parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

Aplicar la revisión publicada el 17 de julio de 2024.
Rotar claves de cifrado.

Para los clientes que ya han aplicado 1) un parche de seguridad lanzado el 11 de junio de 2024 o, 2) el parche aislado lanzado el 28 de junio de 2024 y 3) han girado sus claves de cifrado:

Aplicar la revisión publicada el 17 de julio de 2024.

Para ser compatibles con Commerce versión 2.4.6-p6, los comerciantes que tengan la extensión Adobe Commerce B2B deben actualizar a B2B versión 1.4.2-p1.

Características destacadas

Se agregó compatibilidad con Integridad de los subrecursos (SRI) para cumplir con los requisitos de PCI 4.0 para la verificación de la integridad de scripts en páginas de pago. La compatibilidad con la Integridad de los subrecursos (SRI) proporciona hashes de integridad para todos los recursos de JavaScript que residen en el sistema de archivos local. La función SRI predeterminada solo se implementa en las páginas de pago de las áreas de administración y tienda. Sin embargo, los comerciantes pueden ampliar la configuración predeterminada a otras páginas. Consulte Integridad de los subrecursos en la Guía para desarrolladores de Commerce PHP.

Cambios en la directiva de seguridad de contenido (CSP): actualizaciones de configuración y mejoras en las directivas de seguridad de contenido (CSP) de Adobe Commerce para cumplir con los requisitos de PCI 4.0. Para obtener más información, consulte Políticas de seguridad de contenido en la Guía para desarrolladores de Commerce PHP.

La configuración predeterminada de CSP para páginas de pago para áreas de administración y tienda de Commerce ahora está en modo restrict. Para todas las demás páginas, la configuración predeterminada es el modo report-only. En las versiones anteriores a 2.4.7, el CSP se configuraba en modo report-only para todas las páginas.
Se ha agregado un proveedor nonce para permitir la ejecución de scripts en línea en un CSP. El proveedor nonce facilita la generación de cadenas nonce únicas para cada solicitud. A continuación, las cadenas se adjuntan al encabezado CSP.

Se han añadido opciones para configurar URI personalizados para que informen de infracciones de CSP en la página Crear pedido de la página Administrador y Cierre de compra de la tienda. Puede agregar la configuración desde el Administrador o agregando el URI al archivo config.xml.

note note

note note
NOTE
Si actualiza la configuración de CSP al modo `restrict`, es posible que se bloqueen los scripts en línea existentes en las páginas de pago de la administración y la tienda, lo que provoca el siguiente error del explorador al cargar una página: `Refused to execute inline script because it violates the following Content Security Policy directive: "script-src`. Corrija estos errores actualizando la configuración de la lista blanca para permitir los scripts necesarios. Consulte Solución de problemas en la Guía para desarrolladores de Commerce PHP.

NOTE

Si actualiza la configuración de CSP al modo restrict, es posible que se bloqueen los scripts en línea existentes en las páginas de pago de la administración y la tienda, lo que provoca el siguiente error del explorador al cargar una página: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrija estos errores actualizando la configuración de la lista blanca para permitir los scripts necesarios. Consulte Solución de problemas en la Guía para desarrolladores de Commerce PHP.

2.4.6-p5

La versión de seguridad de Adobe Commerce 2.4.6-p5 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.6.

Para obtener la información más reciente sobre estas correcciones, consulte el Boletín de seguridad del Adobe APSB24-18.

2.4.6-p4

La versión de seguridad de Adobe Commerce 2.4.6-p4 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad que mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-03.

Características destacadas

Esta versión incorpora dos mejoras de seguridad significativas:

Cambios en el comportamiento de las claves de caché no generadas:
- Las claves de caché no generadas para bloques ahora incluyen prefijos que difieren de los prefijos para las claves generadas automáticamente. (Las claves de caché no generadas son claves que se establecen mediante sintaxis de directiva de plantilla para los métodos setCacheKey o setData).
- Las claves de caché no generadas para bloques ahora deben contener solo letras, dígitos, guiones (-) y caracteres de subrayado (_).
Limitaciones en el número de códigos de cupones generados automáticamente. Commerce ahora limita el número de códigos de cupones que se generan automáticamente. El máximo predeterminado es 250 000. Los comerciantes pueden usar la nueva opción de configuración Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) para controlar este nuevo límite.

2.4.6-p3

La versión de seguridad de Adobe Commerce 2.4.6-p3 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.

Para obtener la información más reciente sobre las correcciones de seguridad, consulte Boletín de seguridad del Adobe APSB23-50.

Características destacadas

Esta versión introduce una nueva configuración de caché de página completa que ayuda a mitigar los riesgos asociados con el extremo {BASE-URL}/page_cache/block/esi HTTP. Este extremo admite fragmentos de contenido cargados dinámicamente y sin restricciones desde controladores de diseño y estructuras de bloque de Commerce. La nueva configuración Handles Param establece el valor del parámetro handles de este extremo, que determina el número máximo permitido de identificadores por API. El valor predeterminado de esta propiedad es 100. Los comerciantes pueden cambiar este valor desde el administrador (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Revisiones incluidas en esta versión

Adobe Commerce 2.4.6-p3 incluye la resolución de la degradación del rendimiento corregida por el parche ACSD-51892. Los comerciantes no se ven afectados por el problema que resuelve este parche, que se describe en ACSD-51892: Problema de rendimiento donde los archivos de configuración se cargan varias veces Artículo de la Base de conocimiento.

Problemas conocidos

Problema: Adobe Commerce muestra un error de wrong checksum durante la descarga por Compositor desde repo.magento.com y se interrumpe la descarga del paquete. Este problema puede ocurrir durante la descarga de los paquetes de versiones disponibles durante el período de prelanzamiento y se debe a un reempaquetado del paquete magento/module-page-cache.

Solución alternativa: Los comerciantes que ven este error durante la descarga pueden seguir estos pasos:

Elimine el directorio /vendor dentro del proyecto, si existe.
Ejecute el comando bin/magento composer update magento/module-page-cache. Este comando actualiza solamente el paquete page cache.

Si el problema de la suma de comprobación persiste, quite el archivo composer.lock antes de volver a ejecutar el comando bin/magento composer update para actualizar todos los paquetes.

2.4.6-p2

La versión de seguridad de Adobe Commerce 2.4.6-p2 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB23-42.

Aplicar revisión para CVE-2022-31160

La versión 1.13.1 de la biblioteca jQuery-UI tiene una vulnerabilidad de seguridad conocida (CVE-2022-31160) que afecta a varias versiones de Adobe Commerce y Magento Open Source. Esta biblioteca es una dependencia de Adobe Commerce y de los Magento Open Source 2.4.4, 2.4.5 y 2.4.6. Los comerciantes que ejecuten implementaciones afectadas deben aplicar el parche especificado en la corrección de la vulnerabilidad de seguridad de la interfaz de usuario de jQuery CVE-2022-31160 para las versiones 2.4.4, 2.4.5 y 2.4.6 del artículo de la Base de conocimiento.

Características destacadas

El valor de fastcgi_pass en el archivo nginx.sample se ha devuelto a su valor anterior (anterior a 2.4.6-p1) de fastcgi_backend. Este valor se cambió involuntariamente a php-fpm:9000 en Adobe Commerce 2.4.6-p1.

Revisiones incluidas en esta versión

Adobe Commerce 2.4.6-p2 incluye la resolución de la degradación del rendimiento a la que se dirigió el parche ACSD-51892. Los comerciantes no se ven afectados por el problema que resuelve este parche, que se describe en ACSD-51892: Problema de rendimiento donde los archivos de configuración se cargan varias veces Artículo de la Base de conocimiento.

2.4.6-p1

La versión de seguridad de Adobe Commerce 2.4.6-p1 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores. Esta versión también incluye mejoras de seguridad y actualizaciones de la plataforma para mejorar el cumplimiento de las prácticas recomendadas de seguridad más recientes.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB23-35.

Aplicar revisión para CVE-2022-31160

La versión 1.13.1 de la biblioteca jQuery-UI tiene una vulnerabilidad de seguridad conocida (CVE-2022-31160) que afecta a varias versiones de Adobe Commerce y Magento Open Source. Esta biblioteca es una dependencia de Adobe Commerce y de los Magento Open Source 2.4.4, 2.4.5 y 2.4.6. Los comerciantes que ejecuten implementaciones afectadas deben aplicar el parche especificado en el artículo Vulnerabilidad de seguridad de la IU de consulta CVE-2022-31160 para las versiones 2.4.4, 2.4.5 y 2.4.6 de la Base de conocimiento.

Resaltar

El comportamiento predeterminado de la consulta GraphQL isEmailAvailable y el extremo REST (V1/customers/isEmailAvailable) ha cambiado. De manera predeterminada, la API ahora siempre devuelve true. Los comerciantes pueden habilitar el comportamiento original, que consiste en devolver true si el correo electrónico no existe en la base de datos y false si existe.

Actualizaciones de plataforma

Las actualizaciones de plataforma para esta versión mejoran el cumplimiento de las prácticas recomendadas de seguridad más recientes.

Compatibilidad con Varnish cache 7.3. Esta versión es compatible con la última versión de Varnish Cache 7.3. La compatibilidad se mantiene con las versiones 6.0.x y 7.2.x, pero el Adobe recomendado con Adobe Commerce 2.4.6-p1 solo con Varnish Cache versión 7.3 o versión 6.0 LTS.
Compatibilidad con RabbitMQ 3.11. Esta versión es compatible con la última versión de RabbitMQ 3.11. La compatibilidad sigue siendo con RabbitMQ 3.9, que es compatible hasta agosto de 2023, pero el Adobe recomendado usar Adobe Commerce 2.4.6-p1 solo con RabbitMQ 3.11.
Bibliotecas de JavaScript. Las bibliotecas JavaScript obsoletas se han actualizado a las últimas versiones secundarias o de parches, incluidas la biblioteca moment.js (v2.29.4), la biblioteca jQuery UI (v1.13.2) y la biblioteca de complementos de validación jQuery (v1.19.5).

Problemas conocidos

El archivo nginx.sample se actualizó de forma involuntaria con un cambio que modifica el valor de fastcgi_pass de fastcgi_backend a php-fpm:9000. Este cambio se puede revertir o ignorar de forma segura.

La falta de dependencias para el paquete de seguridad B2B provoca el siguiente error de instalación al instalar o actualizar la extensión B2B a 1.4.0.

code language-none

code language-none
`Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.`

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

Este problema se puede resolver agregando dependencias manuales para el paquete de seguridad B2B con una etiqueta de estabilidad. Para obtener más información, consulte las notas de la versión de B2B.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f