Note sulla versione per le patch di sicurezza di Adobe Commerce 2.4.8
Queste note sulla versione della patch di sicurezza acquisiscono gli aggiornamenti per migliorare la sicurezza della distribuzione Adobe Commerce. Le informazioni includono, tra l'altro:
- Correzioni di bug di sicurezza
- Elementi di sicurezza che forniscono maggiori dettagli sui miglioramenti e gli aggiornamenti inclusi nella patch di sicurezza
- Problemi noti
- Istruzioni per applicare patch aggiuntive, se necessario
- Informazioni su eventuali hotfix inclusi nella versione
Ulteriori informazioni sulle versioni delle patch di sicurezza:
- Panoramica sulle versioni delle patch di sicurezza di Adobe Commerce
- Le istruzioni per il download e l'applicazione delle versioni delle patch di sicurezza sono disponibili in Come ottenere e applicare le patch di sicurezza nella Knowledge Base di Adobe Commerce.
2.4.8-p3
La versione di sicurezza Adobe Commerce 2.4.8-p3 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.8.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB25-94.
In evidenza
Questa versione include i seguenti elementi di rilievo:
-
Risoluzione di CVE-2025-54236 per risolvere una vulnerabilità API REST. Adobe ha rilasciato un hotfix per questo problema a settembre 2025. Per informazioni dettagliate, vedere l'articolo della Knowledge Base Azione richiesta: Aggiornamento di sicurezza critico disponibile per Adobe Commerce (APSB25-88).
-
Gli sviluppatori devono rivedere la convalida del parametro del costruttore REST API per scoprire come aggiornare le estensioni per renderle conformi alle modifiche di sicurezza.
-
Correzione per ACP2E-3874: la risposta REST API per i dettagli dell'ordine ora contiene valori corretti per gli attributi
base_row_totalerow_totalnel caso in cui siano stati ordinati più elementi uguali. -
Correzione per AC-15446: è stato corretto un errore in
Magento\Framework\Mail\EmailMessagein cuigetBodyText()tentava di chiamare un metodogetTextBody()inesistente inSymfony\Component\Mime\Message, garantendo la compatibilità con Magento 2.4.8-p2 emagento/framework103.0.8-p2. -
Migra da TinyMCE a Hugerte.org
A causa della fine del supporto per TinyMCE 5 e 6 e delle incompatibilità di licenza con TinyMCE 7, l'implementazione corrente dell'editor WYSIWYG di Adobe Commerce è stata migrata da TinyMCE all'editor HugeRTE open-source.
Questa migrazione garantisce che Adobe Commerce rimanga conforme alle licenze open source, evita le vulnerabilità TinyMCE 6 note e offre un’esperienza di modifica moderna e supportata per commercianti e sviluppatori.
-
Aggiunto supporto per il protocollo Apache ActiveMQ Artemis STOMP
È stato aggiunto il supporto per il gestore di messaggi open source ActiveMQ Artemis tramite il protocollo STOMP (Simple Text Oriented Messaging Protocol). Fornisce un sistema di messaggistica affidabile e scalabile, offrendo flessibilità per le integrazioni basate su STOMP. Vedi Apache ActiveMQ Artemis nella Guida alla configurazione di Commerce.
Problemi noti
Impossibile caricare static.min.js e mixins.min.js nella pagina di estrazione
Dopo le recenti modifiche CSP/SRI, la pagina di pagamento non carica static.min.js e mixins.min.js quando le funzioni di bundling e minimizzazione di JavaScript sono entrambe abilitate in modalità di produzione. Di conseguenza, i mixin RequireJS non vengono eseguiti e i modelli di estrazione non vengono risolti (ad esempio, "Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'").
Soluzione alternativa:
- Disattivare il bundling JavaScript; o
- Se mantieni abilitato il bundling di JavaScript, disabilita la minimizzazione di JavaScript.
Hotfix:
È disponibile un hotfix. Vedere Estrazione non riuscita quando la minimizzazione JS e il bundling sono abilitati nella Knowledge Base per i dettagli della patch.
2.4.8-p2
La versione di sicurezza Adobe Commerce 2.4.8-p2 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.8.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB25-71.
2,4,8-p1
La versione di sicurezza Adobe Commerce 2.4.8-p1 fornisce correzioni di bug di sicurezza per le vulnerabilità identificate nelle versioni precedenti della versione 2.4.8.
Per informazioni aggiornate sulle correzioni dei bug di sicurezza, vedere Adobe Security Bulletin APSB25-50.
In evidenza
Questa versione include i seguenti elementi di rilievo:
-
Miglioramento delle prestazioni API—Risolve il peggioramento delle prestazioni negli endpoint API Web asincroni in blocco introdotti dopo la precedente patch di sicurezza.
-
Correzione accesso a CMS Blocks—Risolve un problema che impediva agli utenti amministratori con autorizzazioni limitate (ad esempio l'accesso solo merchandising) di visualizzare la pagina dell'elenco CMS Blocks.
In precedenza, questi utenti avevano riscontrato un errore a causa di parametri di configurazione mancanti dopo l'installazione delle patch di sicurezza precedenti.
-
Compatibilità limite cookie—Risolve una modifica incompatibile con le versioni precedenti che coinvolge la costante
MAX_NUM_COOKIESnel framework. Questo aggiornamento ripristina il comportamento previsto e garantisce la compatibilità per le estensioni o personalizzazioni che interagiscono con i limiti dei cookie. -
Operazioni asincrone—Operazioni asincrone limitate per l'override degli ordini dei clienti precedenti.
-
Correzione per CVE-2025-47110—Risolve una vulnerabilità dei modelli e-mail.
-
Correzione per VULN-31547—Risolve una vulnerabilità di collegamento canonico di categoria.
Le correzioni per CVE-2025-47110 e VULN-31547 sono disponibili anche come patch isolata. Per ulteriori informazioni, vedere l'articolo della Knowledge Base.