Documentation Commerce Informations sur la version

Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.7

Last update: Tue Feb 11 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Rubriques :

Créé pour :

Expérimenté
Administration
Développeur

Ces notes de mise à jour de correctif de sécurité capturent des mises à jour pour améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :

Correctifs de sécurité
Mises en évidence de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
Problèmes connus
Instructions pour appliquer des correctifs supplémentaires si nécessaire
Informations sur les correctifs inclus dans la version

En savoir plus sur les versions des correctifs de sécurité :

Présentation des versions du correctif de sécurité d’Adobe Commerce
Les instructions de téléchargement et d’application des versions des correctifs de sécurité sont disponibles dans le Guide de mise à niveau

2.4.7-p4

La version de sécurité 2.4.7-p4 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.7.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB25-08.

NOTE

Après avoir installé ce correctif de sécurité, les marchands Adobe Commerce B2B doivent également effectuer une mise à jour vers la dernière version de correctif de sécurité B2B compatible. Voir les notes de mise à jour B2B.

Faits saillants

Cette version comprend les éléments suivants :

Gestion des clés de chiffrement et rechiffrement des données - Redéfinition de la gestion des clés de chiffrement pour améliorer la convivialité et éliminer les limites et bogues existants.

De nouvelles commandes d’interface de ligne de commande sont désormais disponibles pour modifier les clés et rechiffrer certaines données de configuration du système, de paiement et de champ personnalisé. La modification des clés dans l’interface utilisateur d’administration n’est plus prise en charge dans cette version. Vous devez utiliser les commandes de l’interface de ligne de commande.
Correctif pour CVE-2025-24434 : résout une vulnérabilité d’autorisation.

Ce correctif est également disponible sous la forme d’un correctif isolé. Pour plus d’informations, consultez l’article Base de connaissances.

2.4.7-p3

La version de sécurité 2.4.7-p3 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.7.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-73.

NOTE

Faits saillants

Les points forts de cette version sont les suivants :

Mise à niveau de TinyMCE : l’éditeur WYSIWYG dans l’administration utilise désormais la dernière version de la dépendance TinyMCE (7.3).
- TinyMCE 7.3 offre une expérience utilisateur améliorée, une meilleure collaboration et une efficacité accrue. TinyMCE 5 a été supprimé dans la version 2.4.8
- En raison d’une vulnérabilité de sécurité (CVE-2024-38357) signalée dans TinyMCE 5.10, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11
Mise à niveau de Require.js—Adobe Commerce utilise désormais la dernière version de Require.js (2.3.7).
- Étant donné qu’une vulnérabilité de sécurité (CVE-2024-38999) a été signalée dans Require.js 2.3.6, la dépendance a également été mise à niveau pour toutes les lignes de version actuellement prises en charge et incluse dans tous les correctifs de sécurité d’octobre 2024 :
  - 2.4.7-p3
  - 2.4.6-p8
  - 2.4.5-p10
  - 2.4.4-p11

NOTE

Ces mises à jour sont rétrocompatibles et n’ont aucune incidence sur les personnalisations et les extensions

Correctifs inclus dans cette version

Cette version comprend un correctif permettant de résoudre un problème lié à la passerelle de paiement Braintree.

Le système comprend désormais les champs nécessaires pour répondre aux exigences du mandat 3DS VISA lors de l’utilisation de Braintree comme passerelle de paiement. Cela garantit que toutes les transactions sont conformes aux dernières normes de sécurité établies par VISA. Auparavant, ces champs supplémentaires n’étaient pas inclus dans les informations de paiement envoyées, ce qui aurait pu entraîner le non-respect des nouvelles exigences en matière de VISA.

2.4.7-p2

La version de sécurité 2.4.7-p2 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de 2.4.7.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-61.

Faits saillants

Les points forts de cette version sont les suivants :

Limitation de débit pour lesone-time passwords : les nouvelles options de configuration système suivantes sont désormais disponibles pour activer la limitation de débit lors de la validation de two-factor authentication (2FA) one-time password (OTP) :
- Limite de tentatives pour l’authentification à deux facteurs
- Durée de verrouillage de l’authentification à deux facteurs (secondes)
Adobe recommande de définir un seuil pour la validation du mot de passe à usage unique 2FA afin de limiter le nombre de tentatives de reprise pour atténuer les attaques par force brute. Voir Sécurité > 2FA dans le Guide de référence de configuration pour plus d’informations.
Rotation de la clé de chiffrement : une nouvelle commande d’interface de ligne de commande est désormais disponible pour modifier votre clé de chiffrement. Pour plus d’informations, consultez l’article Dépannage de la rotation de la clé de chiffrement : CVE-2024-34102 de la base de connaissances .
Correctif pour CVE-2020-27511 : résout une vulnérabilité de sécurité Prototype.js.
Correctif pour CVE-2024-39397—Résout une vulnérabilité de sécurité d'exécution de code à distance. Cette vulnérabilité affecte les commerçants qui utilisent le serveur web Apache pour les déploiements sur site ou auto-hébergés. Ce correctif est également disponible sous la forme d’un correctif isolé. Consultez l’article Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-61de la base de connaissances pour plus d’informations.

Correctifs inclus dans cette version

Cette version comprend les correctifs suivants :

Correctif pour résoudre une erreur JavaScript qui empêchait le rendu correct des cartes Google dans l’éditeur PageBuilder. Pour plus d’informations, consultez l’article de la base de connaissances Correctifs révisés pour les cartes Google - Perte d’accès sur toutes les versions d’Adobe Commerce.
Correctif pour résoudre un problème de validation de jeton web JSON (JWT) lié à CVE-2024-34102. Pour plus d’informations, consultez l’article Mise à jour de sécurité disponible pour Adobe Commerce-APSB24-40de la base de connaissances .

2.4.7-p1

La version de sécurité 2.4.7-p1 d’Adobe Commerce fournit des correctifs de sécurité pour les vulnérabilités qui ont été identifiées dans les versions précédentes de 2.4.7.

Pour obtenir les dernières informations sur les correctifs de sécurité, consultez le Bulletin de sécurité Adobe APSB24-40.

Appliquer un correctif pour CVE-2024-34102

IMPORTANT

Il s’agit d’une mise à jour urgente de notre dernière communication concernant CVE-2024-34102. Adobe sait que CVE-2024-34102 a été exploité dans la nature dans des attaques très limitées ciblant des commerçants Adobe Commerce. Agissez immédiatement pour résoudre la vulnérabilité, si vous ne l’avez pas fait.

Pour les clients et clientes qui n’ont pas appliqué le correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024:

Option 1 :

Appliquez l’un des correctifs de sécurité publiés le 11 juin 2024 :
- 2.4.7-p1
- 2.4.6-p6
- 2.4.5-p8
- 2.4.4-p9
Appliquez le correctif publié le 17 juillet 2024.
Clés de chiffrement rotation.

Option 2 :

Appliquez le patch isolé.
Clés de chiffrement rotation.

Pour les clients et clientes qui ont déjà appliqué un correctif de sécurité publié le 11 juin 2024 ou le correctif isolé publié le 28 juin 2024:

Appliquez le correctif publié le 17 juillet 2024.
Clés de chiffrement rotation.

Pour les clients qui ont déjà 1) appliqué un correctif de sécurité publié le 11 juin 2024 ou 2) le correctif isolé publié le 28 juin 2024 et 3) fait pivoter leurs clés de chiffrement :

Appliquez le correctif publié le 17 juillet 2024.

Faits saillants

Les points forts de cette version sont les suivants :

Mise à jour paramètres de mot de passe à usage unique (OTP) pour l’authentificateur Google-Cette mise à jour est nécessaire pour résoudre une erreur introduite par une modification rétrocompatible dans la version 2.4.7. La description du champ OTP Window fournit désormais une explication précise du paramètre et la valeur par défaut a été modifiée de 1 en 29.
Compatibilité des versions B2B : pour des raisons de compatibilité avec la version 2.4.7-p1 de Commerce, les commerçants qui disposent de l’extension Adobe Commerce B2B doivent effectuer la mise à niveau vers la version 1.4.2-p1 de B2B.

Correctifs inclus dans cette version

Adobe Commerce 2.4.7-p1 résout un problème introduit dans le cadre de la migration de l’intégration UPS de SOAP vers l’API REST. Ce problème affectait les clients qui expédiaient à l'extérieur des États-Unis et les empêchait d'utiliser les mesures du système métrique/SI de kilogrammes et de centimètres pour les colis afin de créer des expéditions avec UPS. Consultez l’article de la base de connaissances Migration de l’intégration de la méthode d’expédition UPS de l’API SOAP vers l’API RESTfulpour plus d’informations.

recommendation-more-help

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f