DocumentazioneCommerceInformazioni sulla versione

Solo PaaS

Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.7

Last update: Thu May 08 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Argomenti:

Creato per:

  • Esperto
  • Amministratore
  • Sviluppatore

Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:

  • Correzioni di bug di sicurezza
  • Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
  • Problemi noti
  • Istruzioni per applicare patch aggiuntive, se necessario
  • Informazioni su eventuali hotfix inclusi nella versione

Ulteriori informazioni sulle versioni delle patch di sicurezza:

  • Panoramica sulle versioni delle patch di sicurezza di Adobe Commerce
  • Le istruzioni per scaricare e applicare le versioni delle patch di sicurezza sono disponibili nella Guida all'aggiornamento

2,4,7-p5

La versione di sicurezza Adobe Commerce 2.4.7-p5 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.7.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB25-26.

NOTE
Dopo aver installato questa patch di sicurezza, i commercianti B2B di Adobe Commerce devono effettuare l’aggiornamento alla versione più recente della patch di sicurezza B2B compatibile. Consulta le note sulla versione B2B.

In evidenza

Lo strumento di supporto System > Support > Data Collector è stato rimosso per impedire l'accesso non autorizzato e migliorare la sicurezza della piattaforma.

recommendation-more-help

Questa versione introduce anche il supporto per l'estensione compatibile con HIPAA Adobe Commerce.

Problemi noti

Problema: durante l'installazione di 2.4.7-p5 con PHP 8.2 o versione successiva, il sistema installa paypal/module-braintree versione 4.7.0, destinata alla versione 2.4.8 o successiva. Per PHP 8.1, viene utilizzata la versione corretta di Braintree 4.6.1-p5. Questa mancata corrispondenza è dovuta alla dipendenza libera da adobe-commerce/extensions-metapackage: ~2.0 nel metapacchetto. Ciò influisce sulla compatibilità e sul set di funzioni supportate per le distribuzioni PHP 8.2+.

Inoltre, per le versioni 2.4.7-p3, 2.4.7-p4 e 2.4.7-p5, può essere installata la versione dell’estensione Braintree 4.6.1-p5, mentre alcuni utenti si aspettano 4.6.1-p3 o p4, a causa di dipendenze più rigide precedenti rilasciate per consentire gli aggiornamenti dell’estensione all’interno di una linea di rilascio.

Soluzione: per assicurarsi di disporre della versione di Braintree corretta per la versione PHP, eseguire composer update per installare la versione appropriata in base alla dipendenza adobe-commerce/extensions-metapackage:2.0.0.

2,4,7-p4

La versione di sicurezza Adobe Commerce 2.4.7-p4 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.7.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB25-08.

NOTE
Dopo aver installato questa patch di sicurezza, i commercianti B2B di Adobe Commerce devono effettuare l’aggiornamento alla versione più recente della patch di sicurezza B2B compatibile. Consulta le note sulla versione B2B.

In evidenza

Questa versione include i seguenti elementi principali:

  • Gestione delle chiavi di crittografia e ricrittografia dei dati—Riprogettazione della gestione delle chiavi di crittografia per migliorarne l'usabilità ed eliminare limitazioni e bug precedenti.

    Sono ora disponibili nuovi comandi CLI per modificare chiavi e ricrittografare determinati dati di configurazione di sistema, pagamento e campi personalizzati. La modifica delle chiavi nell’interfaccia utente di amministrazione non è più supportata in questa versione. Utilizzare i comandi CLI.

  • Correzione per CVE-2025-24434—Risolve una vulnerabilità di autorizzazione.

    Questa correzione è disponibile anche come patch isolata. Per ulteriori informazioni, vedere l'articolo della Knowledge Base.

2.4.7-p3

La versione di sicurezza Adobe Commerce 2.4.7-p3 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.7.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-73.

NOTE
Dopo aver installato questa patch di sicurezza, i commercianti B2B di Adobe Commerce devono effettuare l’aggiornamento alla versione più recente della patch di sicurezza B2B compatibile. Consulta le note sulla versione B2B.

In evidenza

Questa versione include i seguenti elementi di rilievo:

  • Aggiornamento TinyMCE. L'editor WYSIWYG nell'amministratore utilizza ora la versione più recente della dipendenza TinyMCE (7.3​).

    • TinyMCE 7.3 offre un'esperienza utente migliorata, una migliore collaborazione e una maggiore efficienza. TinyMCE 5 è stato rimosso nella versione 2.4.8​.

    • Poiché è stata segnalata una vulnerabilità di sicurezza (CVE-2024-38357) in TinyMCE 5.10, la dipendenza è stata aggiornata anche per tutte le linee di rilascio attualmente supportate e inclusa in tutte le patch di sicurezza di ottobre 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Aggiornamento Require.js - Adobe Commerce utilizza ora la versione più recente di Require.js (2.3.7).

    • Poiché è stata segnalata una vulnerabilità di sicurezza (CVE-2024-38999) in Require.js 2.3.6, la dipendenza è stata aggiornata anche per tutte le linee di rilascio attualmente supportate e inclusa in tutte le patch di sicurezza di ottobre 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Questi aggiornamenti sono compatibili con le versioni precedenti e non dovrebbero influire sulle personalizzazioni e sulle estensioni.​

Hotfix inclusi in questa versione

Questa versione include un hotfix per risolvere un problema relativo al gateway di pagamento di Braintree.

Il sistema ora include i campi necessari per soddisfare i requisiti del mandato VISA 3DS quando si utilizza Braintree come gateway di pagamento. In questo modo tutte le operazioni sono conformi alle più recenti norme di sicurezza stabilite da VISA. In precedenza, questi campi supplementari non erano inclusi nelle informazioni di pagamento inviate, il che avrebbe potuto comportare il mancato rispetto dei nuovi requisiti in materia di visti.

2.4.7-p2

La versione di sicurezza Adobe Commerce 2.4.7-p2 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.7.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-61.

In evidenza

Questa versione include i seguenti elementi di rilievo:

  • Limitazione della frequenza perone-time passwords. Le seguenti nuove opzioni di configurazione del sistema sono ora disponibili per abilitare la limitazione della frequenza nella convalida di two-factor authentication (2FA) one-time password (OTP):

    • Limite tentativi per autenticazione a due fattori
    • Tempo di blocco per autenticazione a due fattori (secondi)

    Adobe consiglia di impostare una soglia per la convalida OTP 2FA per limitare il numero di tentativi di mitigare gli attacchi di forza bruta. Per ulteriori informazioni, vedere Sicurezza > 2FA nella Guida di riferimento alla configurazione.

  • Rotazione chiave di crittografia: è ora disponibile un nuovo comando CLI per la modifica della chiave di crittografia. Per ulteriori informazioni, vedere l'articolo della Knowledge Base relativo alla risoluzione dei problemi relativi alla rotazione delle chiavi di crittografia: CVE-2024-34102🔗.

  • Correzione per CVE-2020-27511—Risolve una vulnerabilità di sicurezza Prototype.js.

  • Correzione per CVE-2024-39397—Risolve una vulnerabilità di sicurezza dell'esecuzione di codice remoto. Questa vulnerabilità influisce sui commercianti che utilizzano il server web Apache per distribuzioni locali o con hosting autonomo. Questa correzione è disponibile anche come patch isolata. Per ulteriori informazioni, vedere l'articolo della Knowledge Base Security update available for Adobe Commerce - APSB24-61.

Hotfix inclusi in questa versione

Questa versione include i seguenti hotfix:

  • Hotfix per risolvere un errore di JavaScript che impediva il corretto rendering di Google Maps nell'editor PageBuilder. Per ulteriori informazioni, vedere l'articolo della Knowledge Base Patch riviste per la perdita dell'accesso a Google Maps in tutte le versioni di Adobe Commerce.

  • Hotfix per risolvere un problema di convalida del token web JSON (JWT) relativo a CVE-2024-34102. Per ulteriori informazioni, vedere l'articolo della Knowledge Base di Sicurezza disponibile per Adobe Commerce-APSB24-40.

2.4.7-p1

La versione di sicurezza Adobe Commerce 2.4.7-p1 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.7.

Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB24-40.

Applica hotfix per CVE-2024-34102

IMPORTANT
Questo è un aggiornamento urgente alla nostra ultima comunicazione relativa a CVE-2024-34102. Adobe è consapevole del fatto che CVE-2024-34102 è stato sfruttato in modo selvaggio in attacchi molto limitati rivolti ai commercianti Adobe Commerce. Agisci immediatamente per risolvere la vulnerabilità, se non lo hai fatto.

Per i clienti che non hanno applicato la patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:

Opzione 1:

  1. Applica una delle patch di sicurezza rilasciate l’11 giugno 2024:

    • 2.4.7-p1

    • 2.4.6-p6

    • 2.4.5-p8

    • 2.4.4-p9

  2. Applica l'hotfix rilasciato il 17 luglio 2024.

  3. Ruota le chiavi di crittografia.

Opzione 2:

  1. Applica la patch isolata.

  2. Ruota le chiavi di crittografia.

Per i clienti che hanno già applicato una patch di sicurezza rilasciata l'11 giugno 2024 o la patch isolata rilasciata il 28 giugno 2024:

  1. Applica l'hotfix rilasciato il 17 luglio 2024.

  2. Ruota le chiavi di crittografia.

Per i clienti che hanno già 1) applicato una patch di sicurezza rilasciata l'11 giugno 2024 o 2) la patch isolata rilasciata il 28 giugno 2024 e 3) ha ruotato le chiavi di crittografia:

  1. Applica l'hotfix rilasciato il 17 luglio 2024.

In evidenza

Questa versione include i seguenti elementi di rilievo:

  • Aggiorna impostazioni di password monouso (OTP) per Google Authenticator-Questo aggiornamento è necessario per risolvere un errore introdotto da una modifica non compatibile con le versioni precedenti nella versione 2.4.7. La descrizione del campo OTP Window fornisce ora una spiegazione accurata dell'impostazione e il valore predefinito è stato modificato da 1 a 29.

  • Compatibilità della versione B2B - Per la compatibilità con Commerce versione 2.4.7-p1, i commercianti con estensione Adobe Commerce B2B devono eseguire l'aggiornamento alla versione B2B versione 1.4.2-p1.

Hotfix inclusi in questa versione

Adobe Commerce 2.4.7-p1 risolve un problema introdotto nell’ambito della migrazione dell’integrazione UPS da SOAP all’API REST. Questo problema ha interessato i clienti che effettuano spedizioni al di fuori degli Stati Uniti e ha impedito loro di utilizzare le misurazioni del sistema metrico/SI di chilogrammi e centimetri per i pacchetti per creare spedizioni con UPS. Per informazioni dettagliate, consulta l'articolo della knowledge base Migrazione dell'integrazione del metodo di spedizione UPS da SOAP a RESTful API.

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f