Notas de la versión de parches de seguridad de Adobe Commerce 2.4.8

Corrección para CVE-2025-54236 para resolver una vulnerabilidad de API de REST. Adobe publicó una revisión para este problema en septiembre de 2025. Consulte Acción necesaria: actualización de seguridad crítica disponible para Adobe Commerce (APSB25-88) artículo de la Base de conocimiento para obtener más información.

Los desarrolladores deben revisar validación del parámetro del constructor de la API REST para obtener información sobre cómo actualizar las extensiones para que sean compatibles con estos cambios de seguridad.

Corrección para ACP2E-3874: La respuesta de la API de REST para los detalles del pedido ahora contiene valores correctos para los atributos base_row_total y row_total en caso de que se hayan pedido varios artículos iguales.

Corrección para -AC-15446: se corrigió un error en Magento\Framework\Mail\EmailMessage en el que getBodyText() intentó llamar a un método getTextBody() inexistente en Symfony\Component\Mime\Message, lo que garantiza la compatibilidad con Magento 2.4.8-p2 y magento/framework 103.0.8-p2.

Migrar de TinyMCE a Hugerte.org

Debido al fin de la compatibilidad con TinyMCE 5 y 6 y a las incompatibilidades de licencia con TinyMCE 7, la implementación actual del editor WYSIWYG de Adobe Commerce se migra de TinyMCE al editor HugeRTE de código abierto.

Esta migración garantiza que Adobe Commerce siga siendo compatible con las licencias de código abierto, evita las vulnerabilidades conocidas de TinyMCE 6 y ofrece una experiencia de edición moderna y compatible para comerciantes y desarrolladores.

Se agregó compatibilidad con el protocolo Apache ActiveMQ Artemis STOMP

Se ha agregado compatibilidad con el agente de mensajes de código abierto ActiveMQ Artemis a través del Protocolo simple de mensajería orientada a texto (STOMP). Ofrece un sistema de mensajería fiable y escalable, que ofrece flexibilidad para integraciones basadas en STOMP. Consulte Apache ActiveMQ Artemis en la Guía de configuración de Commerce.

Mejora del rendimiento de la API: resuelve la degradación del rendimiento en los extremos de API web asincrónicos masivos que se introdujeron después de la revisión de seguridad anterior.

Corrección de acceso de bloques de CMS: resuelve un problema en el cual los usuarios administradores con permisos restringidos (como acceso de solo comercialización) no podían ver la página de listado CMS Blocks.

Anteriormente, estos usuarios encontraban un error debido a la falta de parámetros de configuración después de instalar las revisiones de seguridad anteriores.

Compatibilidad con límites de cookies: resuelve un cambio incompatible con versiones anteriores que implica la constante MAX_NUM_COOKIES en el marco de trabajo. Esta actualización restaura el comportamiento esperado y garantiza la compatibilidad de las extensiones o personalizaciones que interactúan con los límites de las cookies.

Operaciones asincrónicas: operaciones asincrónicas restringidas para anular pedidos de clientes anteriores.

Corrección para CVE-2025-47110: resuelve una vulnerabilidad de las plantillas de correo electrónico.

Corrección para VULN-31547: resuelve una vulnerabilidad de vínculo canónico de categoría.