Documentación Commerce Información de versión

Notas de la versión de parches de seguridad de Adobe Commerce 2.4.7

Last update: Fri Apr 11 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Temas:

Creado para:

Experimentado
Administrador
Desarrollador

Estas notas de la versión del parche de seguridad capturan actualizaciones para mejorar la seguridad de su implementación de Adobe Commerce. La información incluye, entre otras cosas, lo siguiente:

Correcciones de errores de seguridad
Elementos destacados de seguridad que proporcionan más detalles sobre las mejoras y actualizaciones incluidas en el parche de seguridad
Problemas conocidos
Instrucciones para aplicar parches adicionales si es necesario
Información acerca de las correcciones rápidas incluidas en la versión

Obtenga más información sobre las versiones de parches de seguridad:

Información general sobre versiones de parches de seguridad de Adobe Commerce
Las instrucciones para descargar y aplicar revisiones de seguridad están disponibles en Guía de actualización

2.4.7-p5

La versión de seguridad de Adobe Systems Commerce 2.4.7-p5 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente acerca de las correcciones de errores de seguridad, consulte Adobe Systems boletín de seguridad APSB25-26.

NOTE

Después de instalar este parche de seguridad, los comerciantes de Adobe Commerce B2B también deben actualizar a la última versión del parche de seguridad B2B compatible. Ver notas de la versión B2B.

Características destacadas

Esta versión incorpora compatibilidad con la extensión compatible con HIPAA de Adobe Commerce.

2.4.7-p4

La versión de seguridad de Adobe Commerce 2.4.7-p4 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad de Adobe APSB25-08.

NOTE

Características destacadas

Esta versión incluye lo siguiente destacado:

Administración de claves de cifrado y recifrado de datos: se ha rediseñado la administración de claves de cifrado para mejorar la facilidad de uso y eliminar las limitaciones y los errores anteriores.

Los nuevos comandos CLI ya están disponibles para cambiar claves y volver a cifrar ciertas configuraciones del sistema, pagos y datos de campos personalizados. En esta versión ya no se admite el cambio de claves en la IU de administración. Debe utilizar los comandos CLI.
Corrección para CVE-2025-24434: resuelve una vulnerabilidad de autorización.

Esta corrección también está disponible como parche aislado. Consulte el artículo de la base de conocimiento para obtener más información.

2.4.7-p3

La versión de seguridad de Adobe Commerce 2.4.7-p3 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente acerca de las correcciones de errores de seguridad, consulte Adobe Systems boletín de seguridad APSB24-73.

NOTE

Resúmenes

Esta versión incluye los siguientes aspectos destacados:

Actualización de TinyMCE: el editor de WYSIWYG del administrador ahora usa la última versión de la dependencia de TinyMCE (7.3).
- TinyMCE 7.3 ofrece una experiencia de usuario mejorada, una mejor colaboración y una mayor eficiencia. TinyMCE 5 se ha eliminado en la línea de versión 2.4.8
- Dado que se informó de una vulnerabilidad de seguridad (CVE-2024-38357) en TinyMCE 5.10, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2,4,5-p10
  - 2.4.4-p11
Requerir actualización.js: Adobe Commerce ahora utiliza la última versión de Requerir.js (2.3.7).
- Dado que se notificó una vulnerabilidad de seguridad (CVE-2024-38999) en Require.js 2.3.6, la dependencia también se actualizó para todas las líneas de versión admitidas actualmente y se incluyó en todos los parches de seguridad de octubre de 2024:
  - 2.4.7-p3
  - 2.4.6-p8
  - 2,4,5-p10
  - 2.4.4-p11

NOTE

Estas actualizaciones son compatibles con versiones anteriores y no deben afectar a las personalizaciones y extensiones

Correcciones incluidas en esta versión

Esta versión incluye una revisión para resolver un problema con la pasarela de pago de Braintree.

El sistema ahora incluye los campos necesarios para cumplir con los requisitos del mandato VISA 3DS al usar Braintree como pasarela de pago. Esto garantiza que todas las transacciones cumplan con los últimos estándares de seguridad establecidos por VISA. Anteriormente, estos campos adicionales no se incluían en la información de pago enviada, lo que podría haber llevado al incumplimiento de los nuevos requisitos de VISA.

2,4,7-p2

La versión de seguridad de Adobe Commerce 2.4.7-p2 proporciona correcciones de errores de seguridad para vulnerabilidades identificadas en versiones anteriores de 2.4.7.

Para obtener la información más reciente sobre la corrección de errores de seguridad, consulte Boletín de seguridad de Adobe APSB24-61.

Características destacadas

Esta versión incluye los siguientes aspectos destacados:

Limitación de velocidad paraone-time passwords: las siguientes nuevas opciones de configuración del sistema ya están disponibles para habilitar la limitación de velocidad en la validación de two-factor authentication (2FA) one-time password (OTP):
- Límite de intentos de reintento para autenticación de doble factor
- Tiempo de bloqueo de autenticación de doble factor (segundos)
Adobe recomienda establecer un umbral para la validación de OTP 2FA a fin de limitar el número de intentos de reintento para mitigar los ataques de fuerza bruta. Consulte Seguridad > 2FA en la Guía de referencia de configuración para obtener más información.
Rotación de clave de cifrado: ya está disponible un nuevo comando de CLI para cambiar la clave de cifrado. Consulte el artículo de la Solución de problemas con la rotación de clave de cifrado: CVE-2024-34102 Knowledge Base para obtener más información.
Corrección para CVE-2020-27511: resuelve una vulnerabilidad de seguridad de Prototype.js.
Corrección para CVE-2024-39397: resuelve una vulnerabilidad de seguridad de ejecución de código remoto. Esta vulnerabilidad afecta a los comerciantes que utilizan el servidor web Apache para implementaciones locales o autoalojadas. Esta corrección también está disponible como parche aislado. Consulte la actualización de seguridad disponible para Adobe Commerce - APSB24-61 Artículo de la base de conocimiento para obtener más información.

Revisiones incluidas en esta versión

Esta versión de incluye las siguientes revisiones:

Revisión para resolver un error de JavaScript que impedía que Google Maps se representara correctamente en el editor PageBuilder. Consulte los parches revisados para la pérdida de acceso a Google Maps en todas las versiones de Adobe Commerce artículo de la Base de conocimiento para obtener más información.
Revisión para resolver un problema de validación de token web JSON (JWT) relacionado con CVE-2024-34102. Consulte la actualización de seguridad disponible para Adobe Commerce-APSB24-40 Artículo de la base de conocimiento para obtener más detalles.

2.4.7-p1

La versión de seguridad de Adobe Commerce 2.4.7-p1 proporciona correcciones de errores de seguridad para vulnerabilidades que se han identificado en versiones anteriores de 2.4.7.

Para obtener la información más reciente acerca de las correcciones de errores de seguridad, consulte Adobe Systems boletín de seguridad APSB24-40.

Aplicar revisión para CVE-2024-34102

IMPORTANT

Esta es una actualización urgente de nuestra última comunicación con respecto a CVE-2024-34102. Adobe es consciente de que CVE-2024-34102 ha sido explotado en su hábitat natural en ataques muy limitados dirigidos a comerciantes de Adobe Commerce. Tome medidas inmediatas para resolver la vulnerabilidad, si no lo ha hecho.

Para clientes que no han aplicado el parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

Opción 1:

Aplique uno de los parches de seguridad publicados el 11 de junio de 2024:
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Aplicar la revisión publicada el 17 de julio de 2024.
Rotar claves de cifrado.

Opción 2:

Aplicar el parche aislado.
Rotar claves de cifrado.

Para clientes que ya han aplicado un parche de seguridad lanzado el 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024:

Aplicar la revisión publicada el 17 de julio de 2024.
Rotar claves de cifrado.

Para los clientes que ya han aplicado 1) un parche de seguridad lanzado el 11 de junio de 2024 o, 2) el parche aislado lanzado el 28 de junio de 2024 y 3) han girado sus claves de cifrado:

Aplicar la revisión publicada el 17 de julio de 2024.

Resúmenes

Esta versión incluye los siguientes elementos destacados:

Actualizar la configuración de contraseña de un solo uso OTP para Google Authenticator: esta actualización es necesaria para resolver un error que se introdujo mediante un cambio incompatible con versiones anteriores en 2.4.7. La descripción del campo OTP Window ahora proporciona una explicación precisa de la configuración y el valor predeterminado se ha cambiado de 1 a 29.
Compatibilidad de la versión B2B: para la compatibilidad con Commerce versión 2.4.7-p1, los comerciantes que tengan la extensión Adobe Commerce B2B deben actualizar a B2B versión 1.4.2-p1.

Revisiones incluidas en esta versión

Adobe Commerce 2.4.7-p1 resuelve un problema introducido en el ámbito de la migración de la integración de UPS de SOAP a la API de REST. Este problema afectaba a los clientes que realizaban envíos fuera de los EE. UU. e impedía que utilizaran las mediciones del sistema métrico/SI de kilogramos y centímetros para los paquetes con el fin de crear envíos con UPS. Consulte el artículo de la base de conocimiento Migración del método de envío UPS de SOAP a la API RESTful para obtener más detalles.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f