DocumentationCommerceInformations sur la version

Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.6

Last update: Tue Feb 11 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Rubriques :

Créé pour :

  • Expérimenté
  • Administration
  • Développeur

Ces notes de mise à jour de correctif de sécurité capturent des mises à jour pour améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :

  • Correctifs de sécurité
  • Mises en évidence de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
  • Problèmes connus
  • Instructions pour appliquer des correctifs supplémentaires si nécessaire
  • Informations sur les correctifs inclus dans la version

En savoir plus sur les versions des correctifs de sécurité :

2.4.6-p9

La version de sécurité 2.4.6-p9 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.6.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB25-08.

NOTE
Après avoir installé ce correctif de sécurité, les marchands Adobe Commerce B2B doivent également effectuer une mise à jour vers la dernière version de correctif de sécurité B2B compatible. Voir les notes de mise à jour B2B.

Faits saillants

Cette version comprend les éléments suivants :

  • Gestion des clés de chiffrement et rechiffrement des données - Redéfinition de la gestion des clés de chiffrement pour améliorer la convivialité et éliminer les limites et bogues existants.

    De nouvelles commandes d’interface de ligne de commande sont désormais disponibles pour modifier les clés et rechiffrer certaines données de configuration du système, de paiement et de champ personnalisé. La modification des clés dans l’interface utilisateur d’administration n’est plus prise en charge dans cette version. Vous devez utiliser les commandes de l’interface de ligne de commande.

  • Correctif pour CVE-2025-24434 : résout une vulnérabilité d’autorisation.

    Ce correctif est également disponible sous la forme d’un correctif isolé. Pour plus d’informations, consultez l’article Base de connaissances.

2.4.6-p8

La version de sécurité 2.4.6-p8 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.6.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-73.

NOTE
Après avoir installé ce correctif de sécurité, les marchands Adobe Commerce B2B doivent également effectuer une mise à jour vers la dernière version de correctif de sécurité B2B compatible. Voir les notes de mise à jour B2B.

Faits saillants

Les points forts de cette version sont les suivants :

  • Mise à niveau de TinyMCE : l’éditeur WYSIWYG dans l’administration utilise désormais la dernière version de la dépendance TinyMCE (7.3​).

    • TinyMCE 7.3 offre une expérience utilisateur améliorée, une meilleure collaboration et une efficacité accrue. TinyMCE 5 a été supprimé dans la version 2.4.8​

    • En raison d’une vulnérabilité de sécurité (CVE-2024-38357) signalée dans TinyMCE 5.10, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Mise à niveau de Require.js—Adobe Commerce utilise désormais la dernière version de Require.js (2.3.7).

    • Étant donné qu’une vulnérabilité de sécurité (CVE-2024-38999) a été signalée dans Require.js 2.3.6, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Ces mises à jour sont rétrocompatibles et n’ont aucune incidence sur les personnalisations et les extensions​

Correctifs inclus dans cette version

Cette version comprend un correctif permettant de résoudre un problème lié à la passerelle de paiement Braintree.

Le système comprend désormais les champs nécessaires pour répondre aux exigences du mandat 3DS VISA lors de l’utilisation de Braintree comme passerelle de paiement. Cela garantit que toutes les transactions sont conformes aux dernières normes de sécurité établies par VISA. Auparavant, ces champs supplémentaires n’étaient pas inclus dans les informations de paiement envoyées, ce qui aurait pu entraîner le non-respect des nouvelles exigences en matière de VISA.

2.4.6-p7

La version de sécurité 2.4.6-p7 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.6.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-61.

Faits saillants

Les points forts de cette version sont les suivants :

  • Limitation de débit pour lesone-time passwords : les nouvelles options de configuration système suivantes sont désormais disponibles pour activer la limitation de débit lors de la validation de two-factor authentication (2FA) one-time password (OTP) :

    • Limite de tentatives pour l’authentification à deux facteurs
    • Durée de verrouillage de l’authentification à deux facteurs (secondes)

    Adobe recommande de définir un seuil pour la validation du mot de passe à usage unique 2FA afin de limiter le nombre de tentatives de reprise pour atténuer les attaques par force brute. Voir Sécurité > 2FA dans le Guide de référence de configuration pour plus d’informations.

  • Rotation de la clé de chiffrement : une nouvelle commande d’interface de ligne de commande est désormais disponible pour modifier votre clé de chiffrement. Pour plus d’informations, consultez l’article Dépannage de la rotation de la clé de chiffrement : CVE-2024-34102 de la base de connaissances .

  • Correctif pour CVE-2020-27511 : résout une vulnérabilité de sécurité Prototype.js.

  • Correctif pour CVE-2024-39397—Résout une vulnérabilité de sécurité d'exécution de code à distance. Cette vulnérabilité affecte les commerçants qui utilisent le serveur web Apache pour les déploiements sur site ou auto-hébergés. Ce correctif est également disponible sous la forme d’un correctif isolé. Consultez l’article Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-61de la base de connaissances pour plus d’informations.

Correctifs inclus dans cette version

Cette version comprend les correctifs suivants :

2.4.6-p6

La version de sécurité 2.4.6-p6 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes de 2.4.6.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-40.

Pour des raisons de compatibilité avec Commerce version 2.4.6-p6, les commerçants qui disposent de l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers B2B version 1.4.2-p1.

Appliquer un correctif pour CVE-2024-34102

IMPORTANT
Il s’agit d’une mise à jour urgente de notre dernière communication concernant CVE-2024-34102. Adobe sait que CVE-2024-34102 a été exploité dans la nature dans des attaques très limitées ciblant des commerçants Adobe Commerce. Agissez immédiatement pour résoudre la vulnérabilité, si vous ne l’avez pas fait.

Pour les clients et clientes qui n’ont pas appliqué le correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024:

Option 1 :

  1. Appliquez l’un des correctifs de sécurité publiés le 11 juin 2024 :

  2. Appliquez le correctif publié le 17 juillet 2024.

  3. Clés de chiffrement rotation.

Option 2 :

  1. Appliquez le patch isolé.

  2. Clés de chiffrement rotation.

Pour les clients et clientes qui ont déjà appliqué un correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024:

  1. Appliquez le correctif publié le 17 juillet 2024.

  2. Clés de chiffrement rotation.

Pour les clients qui ont déjà 1) appliqué un correctif de sécurité publié le 11 juin 2024 ou 2) le correctif isolé publié le 28 juin 2024 et 3) fait pivoter leurs clés de chiffrement :

  1. Appliquez le correctif publié le 17 juillet 2024.

Pour des raisons de compatibilité avec Commerce version 2.4.6-p6, les commerçants qui disposent de l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers B2B version 1.4.2-p1.

Faits saillants

  • Ajout de la prise en charge de l’intégrité des sous-ressources (SRI) pour se conformer aux exigences PCI 4.0 pour la vérification de l’intégrité des scripts sur les pages de paiement. La prise en charge de l’intégrité des sous-ressources (SRI) fournit des hachages d’intégrité pour toutes les ressources JavaScript résidant dans le système de fichiers local. La fonction SRI par défaut est implémentée uniquement sur les pages de paiement pour les zones Admin et Storefront. Cependant, les commerçants peuvent étendre la configuration par défaut à d’autres pages. Voir Intégrité des sous-ressources dans le Guide du développeur de Commerce PHP.

  • Modifications apportées à la politique de sécurité du contenu (CSP) : mises à jour et améliorations de la configuration des politiques de sécurité du contenu (CSP) d’Adobe Commerce pour se conformer aux exigences PCI 4.0. Pour plus de détails, consultez Politiques de sécurité du contenu dans le Guide du développeur de Commerce PHP.

    • La configuration CSP par défaut pour les pages de paiement des zones Commerce Admin et Storefront est désormais en mode restrict. Pour toutes les autres pages, la configuration par défaut est le mode report-only. Dans les versions antérieures à la version 2.4.7, CSP était configuré en mode report-only pour toutes les pages.

    • Ajout d’un fournisseur à usage unique pour permettre l’exécution de scripts intégrés dans une CSP. Le fournisseur de valeur à usage unique facilite la génération de chaînes à usage unique pour chaque requête. Les chaînes sont ensuite associées à l’en-tête CSP.

    • Ajout d’options permettant de configurer des URI personnalisés pour signaler des violations de CSP pour la page Créer une commande dans l’administration et la page Passage en caisse dans le storefront. Vous pouvez ajouter la configuration à partir de l’administration ou en ajoutant l’URI au fichier config.xml.

      note note
      NOTE
      La mise à jour de la configuration du CSP en mode restrict peut bloquer les scripts intégrés existants sur les pages de paiement dans Admin et Storefront, ce qui entraîne l’erreur de navigateur suivante lorsqu’une page se charge : Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Corrigez ces erreurs en mettant à jour la configuration de la liste autorisée pour autoriser les scripts requis. Voir Dépannage dans le Guide du développeur de Commerce PHP.

2.4.6-p5

La version de sécurité 2.4.6-p5 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes de 2.4.6.

Pour obtenir les dernières informations sur ces correctifs, consultez le Bulletin de sécurité Adobe APSB24-18.

2.4.6-p4

La version de sécurité 2.4.6-p4 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques de sécurité.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-03.

Faits saillants

Cette version introduit deux améliorations importantes de la sécurité :

  • Modification du comportement des clés de cache non générées :

    • Les clés de cache non générées pour les blocs incluent désormais des préfixes qui diffèrent des préfixes des clés générées automatiquement. (Les clés de cache non générées sont des clés définies par le biais de la syntaxe de la directive du modèle ou des méthodes setCacheKey ou setData.)
    • Les clés de cache non générées pour les blocs ne doivent désormais contenir que des lettres, des chiffres, des tirets (-) et des traits de soulignement (_).

  • Limitations du nombre de codes de coupon générés automatiquement. Commerce limite désormais le nombre de codes coupon générés automatiquement. La valeur maximale par défaut est de 250 000. Les commerçants peuvent utiliser la nouvelle option de configuration des Code Quantity Limit (Stores > Settings:Configuration > Customers > Promotions) pour contrôler cette nouvelle limite.

2.4.6-p3

La version de sécurité 2.4.6-p3 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité visant à améliorer la conformité aux dernières bonnes pratiques de sécurité.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB23-50.

Faits saillants

Cette version introduit un nouveau paramètre de configuration du cache de page complète qui permet de réduire les risques associés au point d’entrée {BASE-URL}/page_cache/block/esi HTTP. Ce point d’entrée prend en charge des fragments de contenu chargés dynamiquement et sans restriction à partir des poignées de disposition et des structures de bloc Commerce. Le nouveau paramètre de configuration de Handles Param définit la valeur du paramètre handles de ce point d’entrée, qui détermine le nombre maximal autorisé de descripteurs par API. La valeur par défaut de cette propriété est 100. Les commerçants peuvent modifier cette valeur à partir de Admin (Stores > Settings:Configuration > System > Full Page Cache > Handles Param.

Correctifs inclus dans cette version

Adobe Commerce 2.4.6-p3 inclut la résolution de la dégradation des performances corrigée par le correctif ACSD-51892. Les commerçants ne sont pas affectés par le problème résolu par ce correctif, qui est décrit dans l’article ACSD-51892 : Problème de performance où les fichiers config se chargent plusieurs fois de la base de connaissances.

Problèmes connus

Problème : Adobe Commerce affiche une erreur wrong checksum lors du téléchargement par le compositeur à partir de repo.magento.com, et le téléchargement du package est interrompu. Ce problème peut se produire lors du téléchargement des packages de version rendus disponibles pendant la période de version préliminaire et est dû à un reconditionnement du package magento/module-page-cache.

Solution : les commerçants qui voient cette erreur lors du téléchargement peuvent suivre les étapes suivantes :

  1. Supprimez le répertoire /vendor dans le projet, le cas échéant.
  2. Exécutez la commande bin/magento composer update magento/module-page-cache. Cette commande met uniquement à jour le package page cache.

Si le problème de somme de contrôle persiste, supprimez le fichier composer.lock avant de réexécuter la commande bin/magento composer update pour mettre à jour chaque package.

2.4.6-p2

La version de sécurité 2.4.6-p2 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes. Cette version comprend également des améliorations de la sécurité afin de garantir une meilleure conformité aux dernières bonnes pratiques en matière de sécurité.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB23-42.

Appliquer un correctif pour CVE-2022-31160

jQuery-UI version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les commerçants exécutant les déploiements affectés doivent appliquer le correctif spécifié dans l’article de la base de connaissances Vulnérabilité de sécurité de l’interface utilisateur jQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6.

Faits saillants

La valeur de fastcgi_pass dans le fichier nginx.sample a été renvoyée à sa valeur précédente (antérieure à 2.4.6-p1) de fastcgi_backend. Cette valeur a été modifiée par inadvertance en php-fpm:9000 dans Adobe Commerce 2.4.6-p1.

Correctifs inclus dans cette version

Adobe Commerce 2.4.6-p2 inclut la résolution de la dégradation des performances qui a été corrigée par le correctif ACSD-51892. Les commerçants ne sont pas affectés par le problème résolu par ce correctif, qui est décrit dans l’article ACSD-51892 : Problème de performance où les fichiers config se chargent plusieurs fois de la base de connaissances.

2.4.6-p1

La version de sécurité Adobe Commerce 2.4.6-p1 fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes. Cette version comprend également des améliorations de la sécurité et des mises à niveau de la plateforme pour améliorer la conformité aux dernières bonnes pratiques de sécurité.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB23-35.

Appliquer un correctif pour CVE-2022-31160

jQuery-UI version 1.13.1 de la bibliothèque comporte une vulnérabilité de sécurité connue (CVE-2022-31160) qui affecte plusieurs versions d’Adobe Commerce et de Magento Open Source. Cette bibliothèque est une dépendance d’Adobe Commerce et Magento Open Source 2.4.4, 2.4.5 et 2.4.6. Les commerçants qui exécutent les déploiements affectés doivent appliquer le correctif spécifié dans l’article de la base de connaissances Vulnérabilité de sécurité de l’interface utilisateur de requête CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6.

Surbrillance

Le comportement par défaut de la requête isEmailAvailable GraphQL et du point d’entrée REST (V1/customers/isEmailAvailable) a changé. Par défaut, l’API renvoie désormais toujours true. Les commerçants peuvent activer le comportement d’origine, qui consiste à renvoyer un true si l’e-mail n’existe pas dans la base de données et à false s’il existe.

Mises à niveau de Platform

Les mises à niveau de Platform pour cette version améliorent la conformité aux dernières bonnes pratiques de sécurité.

  • Prise en charge du cache de vernis 7.3. Cette version est compatible avec la dernière version de Varnish Cache 7.3. La compatibilité reste avec les versions 6.0.x et 7.2.x, mais Adobe recommande d’utiliser Adobe Commerce 2.4.6-p1 uniquement avec Varnish Cache version 7.3 ou version 6.0 LTS.

  • Prise en charge de RabbitMQ 3.11. Cette version est compatible avec la dernière version de RabbitMQ 3.11. La compatibilité reste avec RabbitMQ 3.9, pris en charge jusqu’en août 2023, mais Adobe a recommandé d’utiliser Adobe Commerce 2.4.6-p1 uniquement avec RabbitMQ 3.11.

  • Bibliothèques JavaScript. Les bibliothèques JavaScript obsolètes ont été mises à niveau vers les dernières versions mineures ou correctives, y compris la bibliothèque moment.js (v2.29.4), la bibliothèque jQuery UI (v1.13.2) et la bibliothèque de modules externes de validation jQuery (v1.19.5).

Problèmes connus

  • Le fichier nginx.sample a été mis à jour par inadvertance avec une modification qui modifie la valeur de fastcgi_pass de fastcgi_backend en php-fpm:9000. Cette modification peut être annulée ou ignorée en toute sécurité.

  • Les dépendances manquantes pour le package de sécurité B2B provoquent l’erreur d’installation suivante lors de l’installation ou de la mise à niveau de l’extension B2B vers la version 1.4.0.

    code language-none 
    Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

    Ce problème peut être résolu en ajoutant des dépendances manuelles pour le package de sécurité B2B avec une balise de stabilité. Pour plus d’informations, consultez les notes de mise à jour de B2B.

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f