DocumentaciónCommerceInformación de versión

Notas de la versión de parches de seguridad de Adobe Commerce 2.4.7

Last update: Tue Oct 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Temas:

Creado para:

  • Experimentado
  • Administrador
  • Desarrollador

Estas notas de la versión del parche de seguridad capturan actualizaciones para mejorar la seguridad de su implementación de Adobe Commerce. La información incluye, entre otras cosas, lo siguiente:

  • Correcciones de errores de seguridad
  • Elementos destacados de seguridad que proporcionan más detalles sobre las mejoras y actualizaciones incluidas en el parche de seguridad
  • Problemas conocidos
  • Instrucciones para aplicar parches adicionales si es necesario
  • Información acerca de las correcciones rápidas incluidas en la versión

Obtenga más información sobre las versiones de parches de seguridad:

2.4.7-p3

La versión de seguridad de Adobe Commerce 2.4.7-p3 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-73.

NOTE
Después de instalar este parche de seguridad, los comerciantes de Adobe Commerce B2B también deben actualizar a la última versión del parche de seguridad B2B compatible. Ver notas de la versión B2B.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

  • Actualización de TinyMCE: el editor de WYSIWYG del administrador ahora usa la última versión de la dependencia de TinyMCE (7.3​).

    • TinyMCE 7.3 ofrece una experiencia de usuario mejorada, una mejor colaboración y una mayor eficiencia. TinyMCE 5 se ha eliminado en la línea de versión 2.4.8​

    • Dado que se informó de una vulnerabilidad de seguridad (CVE-2024-38357) en TinyMCE 5.10, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2,4,5-p10
      • 2.4.4-p11

  • Requerir actualización.js: Adobe Commerce ahora utiliza la última versión de Requerir.js (2.3.7).

    • Dado que se notificó una vulnerabilidad de seguridad (CVE-2024-38999) en Require.js 2.3.6, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2,4,5-p10
      • 2.4.4-p11
NOTE
Estas actualizaciones son compatibles con versiones anteriores y no deben afectar a las personalizaciones y extensiones​

Revisiones incluidas en esta versión

Esta versión incluye una revisión para resolver un problema con la pasarela de pago del Braintree.

El sistema ahora incluye los campos necesarios para cumplir con los requisitos del mandato VISA 3DS cuando se utiliza el Braintree como pasarela de pago. Esto garantiza que todas las transacciones cumplan con los últimos estándares de seguridad establecidos por VISA. Anteriormente, estos campos adicionales no se incluían en la información de pago enviada, lo que podría haber llevado al incumplimiento de los nuevos requisitos de VISA.

2,4,7-p2

La versión de seguridad de Adobe Commerce 2.4.7-p2 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-61.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

  • Limitación de velocidad paraone-time passwords: las siguientes nuevas opciones de configuración del sistema ya están disponibles para habilitar la limitación de velocidad en la validación de two-factor authentication (2FA) one-time password (OTP):

    • Límite de intentos de reintento para autenticación de doble factor
    • Tiempo de bloqueo de autenticación de doble factor (segundos)

    El Adobe recomienda establecer un umbral para la validación de OTP 2FA a fin de limitar el número de intentos de reintento para mitigar los ataques de fuerza bruta. Consulte Seguridad > 2FA en la Guía de referencia de configuración para obtener más información.

  • Rotación de clave de cifrado: ya está disponible un nuevo comando de CLI para cambiar la clave de cifrado. Consulte el artículo de la Solución de problemas con la rotación de clave de cifrado: CVE-2024-34102 Knowledge Base para obtener más información.

  • Corrección para CVE-2020-27511: resuelve una vulnerabilidad de seguridad de Prototype.js.

  • Corrección para CVE-2024-39397: resuelve una vulnerabilidad de seguridad de ejecución de código remoto. Esta vulnerabilidad afecta a los comerciantes que utilizan el servidor web Apache para implementaciones locales o autoalojadas. Esta corrección también está disponible como parche aislado. Consulte la actualización de seguridad disponible para Adobe Commerce - APSB24-61 Artículo de la base de conocimiento para obtener más información.

Revisiones incluidas en esta versión

Esta versión de incluye las siguientes revisiones:

2.4.7-p1

La versión de seguridad de Adobe Commerce 2.4.7-p1 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.7.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad del Adobe APSB24-40.

Aplicar revisión para CVE-2024-34102

IMPORTANT
Esta es una actualización urgente de nuestra última comunicación con respecto a CVE-2024-34102. El Adobe es consciente de que CVE-2024-34102 ha sido explotado en su hábitat natural en ataques muy limitados dirigidos a comerciantes de Adobe Commerce. Tome medidas inmediatas para resolver la vulnerabilidad, si no lo ha hecho.

Para clientes que no han aplicado el parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

Opción 1:

  1. Aplique uno de los parches de seguridad publicados el 11 de junio de 2024:

  2. Aplicar la revisión publicada el 17 de julio de 2024.

  3. Rotar claves de cifrado.

Opción 2:

  1. Aplicar el parche aislado.

  2. Rotar claves de cifrado.

Para clientes que ya han aplicado un parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

  1. Aplicar la revisión publicada el 17 de julio de 2024.

  2. Rotar claves de cifrado.

Para los clientes que ya han aplicado 1) un parche de seguridad lanzado el 11 de junio de 2024 o, 2) el parche aislado lanzado el 28 de junio de 2024 y 3) han girado sus claves de cifrado:

  1. Aplicar la revisión publicada el 17 de julio de 2024.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

  • Actualizar la configuración de contraseña de un solo uso OTP para Google Authenticator: esta actualización es necesaria para resolver un error que se introdujo mediante un cambio incompatible con versiones anteriores en 2.4.7. La descripción del campo OTP Window ahora proporciona una explicación precisa de la configuración y el valor predeterminado se ha cambiado de 1 a 29.

  • Compatibilidad de la versión B2B: para la compatibilidad con Commerce versión 2.4.7-p1, los comerciantes que tengan la extensión Adobe Commerce B2B deben actualizar a B2B versión 1.4.2-p1.

Revisiones incluidas en esta versión

Adobe Commerce SOAP 2.4.7-p1 resuelve un problema que se introdujo en el ámbito de la migración de la integración de UPS de la API de REST a la API de. Este problema afectaba a los clientes que realizaban envíos fuera de los EE. UU. e impedía que utilizaran las mediciones del sistema métrico/SI de kilogramos y centímetros para los paquetes con el fin de crear envíos con UPS. SOAP Consulte el artículo de la base de conocimiento Migración de la integración del método de envío UPS de a la API de RESTful para obtener más detalles.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f