Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.8

Correctif pour CVE-2025-54236 pour résoudre une vulnérabilité de l’API REST. Adobe a publié un correctif pour ce problème en septembre 2025. Consultez l’article Action requise : mise à jour de sécurité critique disponible pour Adobe Commerce (APSB25-88) de la base de connaissances pour plus d’informations.

Les développeurs doivent passer en revue la validation des paramètres du constructeur de l’API REST pour savoir comment mettre à jour les extensions afin qu’elles soient conformes à ces modifications de sécurité.

Correction pour ACP2E-3874 : la réponse de l’API REST pour les détails de commande contient désormais des valeurs correctes pour les attributs base_row_total et row_total au cas où plusieurs mêmes éléments auraient été commandés.

Correction de -AC-15446 : correction d’une erreur dans Magento\Framework\Mail\EmailMessage, en raison de laquelle getBodyText() tentait d’appeler une méthode getTextBody() inexistante sur Symfony\Component\Mime\Message, afin d’assurer la compatibilité avec Magento 2.4.8-p2 et magento/framework 103.0.8-p2.

Migration de TinyMCE vers Hugerte.org

En raison de la fin de la prise en charge de TinyMCE 5 et 6 et des incompatibilités de licence avec TinyMCE 7, l’implémentation actuelle de l’éditeur WYSIWYG d’Adobe Commerce est migrée de TinyMCE vers l’éditeur open source HugeRTE editor.

Cette migration garantit qu’Adobe Commerce reste conforme aux licences open source, évite les vulnérabilités connues de TinyMCE 6 et offre une expérience de modification moderne et prise en charge pour les commerçants et les développeurs.

Ajout de la prise en charge du protocole STOMP d’artémis Apache ActiveMQ

Ajout de la prise en charge du courtier de messages open source ActiveMQ Artemis via le protocole STOMP (Simple Text Oriented Messaging Protocol). Il fournit un système de messagerie fiable et évolutif, offrant une flexibilité pour les intégrations STOMP. Voir Apache ActiveMQ Artemis dans le Guide de configuration de Commerce **.

Amélioration des performances de l’API : résout la dégradation des performances des points d’entrée d’API web asynchrones en bloc introduits après le correctif de sécurité précédent.

Correctif des blocs d’accès CMS—Résout un problème en raison duquel les utilisateurs administrateurs disposant d’autorisations limitées (comme un accès au marchandisage uniquement) ne pouvaient pas afficher la page de liste CMS Blocks.

Auparavant, ces utilisateurs rencontraient une erreur en raison de paramètres de configuration manquants après l’installation des correctifs de sécurité précédents.

Compatibilité des limites de cookies : résout une modification non rétrocompatible impliquant la constante MAX_NUM_COOKIES dans le framework. Cette mise à jour restaure le comportement attendu et assure la compatibilité des extensions ou des personnalisations qui interagissent avec les limites de cookies.

Opérations asynchrones : opérations asynchrones restreintes pour remplacer les commandes précédentes de clients.

Correctif pour CVE-2025-47110 : résout une vulnérabilité des modèles d’e-mail.

Correctif pour VULN-31547 : résout une vulnérabilité de lien canonique de catégorie.