Adobe Commerce 2.4.7 보안 패치 릴리스 노트

REST API 취약성을 해결하기 위해 CVE-2025-54236에 대한 수정 사항입니다. Adobe은 2025년 9월에 이 문제에 대한 핫픽스를 릴리스했습니다. 자세한 내용은 필요한 작업: Adobe Commerce에서 사용할 수 있는 중요 보안 업데이트(APSB25-88) 기술 자료 문서를 참조하십시오.

개발자는 REST API 생성자 매개 변수 유효성 검사를 검토하여 이러한 보안 변경 사항을 준수하도록 확장을 업데이트하는 방법을 알아봐야 합니다.

TinyMCE에서 Hugerte.org로 마이그레이션

TinyMCE 5 및 6에 대한 지원 종료 및 TinyMCE 7과의 라이선스 비호환성으로 인해 Adobe Commerce WYSIWYG 편집기의 현재 구현은 TinyMCE에서 오픈 소스 HugeRTE 편집기​(으)로 마이그레이션됩니다.

이러한 마이그레이션은 Adobe Commerce이 오픈 소스 라이센싱을 준수하도록 하며 알려진 TinyMCE 6 취약점을 방지하고 판매자와 개발자에게 현대적이고 지원되는 편집 환경을 제공합니다.

Apache ActiveMQ Artemis STOMP 프로토콜에 대한 지원이 추가되었습니다

STOMP(Simple Text Oriented Messaging Protocol)를 통해 ActiveMQ Artemis 오픈 소스 메시지 브로커에 대한 지원을 추가했습니다. 안정적이고 확장 가능한 메시징 시스템을 제공하여 STOMP 기반 통합을 위한 유연성을 제공합니다. Commerce 구성 가이드에서 Apache ActiveMQ Artemis​을(를) 참조하십시오.

MariaDB 지원—MariaDB 10.11에 대한 지원이 추가되었습니다.

API 성능 향상—이전 보안 패치 이후에 도입된 일괄 비동기 웹 API 끝점의 성능 저하를 해결합니다.

CMS 차단 액세스 수정—머천다이징 전용 액세스와 같이 권한이 제한된 관리자가 CMS Blocks 목록 페이지를 볼 수 없는 문제를 해결합니다.

이전에는 이러한 사용자가 이전 보안 패치를 설치한 후 구성 매개 변수가 누락되어 오류가 발생했습니다.

쿠키 제한 호환성—프레임워크에서 MAX_NUM_COOKIES 상수와 관련된 이전 버전과 호환되지 않는 변경 내용을 해결합니다. 이 업데이트는 예상되는 동작을 복원하고 쿠키 제한과 상호 작용하는 확장 또는 사용자 지정에 대한 호환성을 보장합니다.

비동기 작업—이전 고객의 주문을 재정의하기 위한 제한된 비동기 작업입니다.

암호화 키 관리 및 데이터 다시 암호화—암호화 키 관리를 새롭게 디자인하여 유용성을 높이고 이전 제한 사항과 버그를 제거합니다.

이제 변경 키와 다시 암호화 특정 시스템 구성, 결제 및 사용자 지정 필드 데이터에 새 CLI 명령을 사용할 수 있습니다. 이 릴리스에서는 관리 UI의 키 변경이 더 이상 지원되지 않습니다. CLI 명령을 사용해야 합니다.

CVE-2025-24434​에 대한 수정 사항 - 인증 취약점을 해결합니다.

이 수정 사항은 격리된 패치로도 사용할 수 있습니다. 자세한 내용은 기술 자료 문서를 참조하세요.

TinyMCE 버전 다운그레이드 - 라이선스 호환성 문제를 해결하기 위해 TinyMCE 종속성이 버전 7에서 6.8.5로 다운그레이드되었습니다.

이 변경 사항은 Adobe이 대체 오픈 소스 WYSIWYG 편집기를 평가하는 동안 지속적인 규정 준수를 보장합니다.

TinyMCE 업그레이드—이제 관리자의 WYSIWYG 편집기에서 최신 버전의 TinyMCE 종속성(7.3​)을 사용합니다.

• TinyMCE 7.3은 향상된 사용자 경험, 향상된 공동 작업 및 향상된 효율성을 제공합니다. TinyMCE 5는 2.4.8 릴리스 라인에서 제거되었습니다​.

• TinyMCE 5.10에서 보안 취약성(CVE-2024-38357)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

Require.js 업그레이드—이제 Adobe Commerce에서 최신 버전의 Require.js(2.3.7)를 사용합니다.

• Require.js 2.3.6에 보안 취약성(CVE-2024-38999)이 보고되었으므로 현재 지원되는 모든 릴리스 라인에 대해 종속성도 업그레이드되었으며 모든 2024년 10월 보안 패치에 포함되었습니다.

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

에 대한one-time passwords​속도 제한—이제 two-factor authentication (2FA) one-time password (OTP) 유효성 검사에서 속도 제한을 사용하도록 설정하는 다음 새 시스템 구성 옵션을 사용할 수 있습니다.

• 2단계 인증에 대한 다시 시도 제한
• 2단계 인증 잠금 시간(초)

Adobe은 무차별 대입 공격을 완화하기 위해 재시도 횟수를 제한하려면 2FA OTP 유효성 검사에 대한 임계값을 설정하는 것이 좋습니다. 자세한 내용은 구성 참조 안내서의 보안 > 2FA​를 참조하십시오.

암호화 키 회전—이제 암호화 키를 변경하는 데 새 CLI 명령을 사용할 수 있습니다. 자세한 내용은 암호화 키 순환 문제 해결: CVE-2024-34102 기술 문서를 참조하십시오.

CVE-2020-27511​에 대한 수정 사항 - Prototype.js 보안 취약점을 해결합니다.

CVE-2024-39397🔗에 대한 수정 사항 - 원격 코드 실행 보안 취약점을 해결합니다. 이 취약성은 온-프레미스 또는 자체 호스팅 배포용 Apache 웹 서버를 사용하는 가맹점에 영향을 줍니다. 이 수정 사항은 격리된 패치로도 사용할 수 있습니다. 자세한 내용은 Adobe Commerce에 사용 가능한 보안 업데이트 - APSB24-61 기술 자료 문서를 참조하십시오.

PageBuilder 편집기에서 Google 맵이 제대로 렌더링되지 않는 JavaScript 오류를 해결하기 위한 핫픽스입니다. 자세한 내용은 모든 Adobe Commerce 버전에서 Google Maps 액세스 손실에 대한 수정된 패치 기술 자료 문서를 참조하십시오.

CVE-2024-34102과 관련된 JSON 웹 토큰(JWT) 유효성 검사 문제를 해결하기 위한 핫픽스. 자세한 내용은 Adobe Commerce-APSB24-40에 사용 가능한 보안 업데이트 기술 자료 문서를 참조하십시오.

Google Authenticator에 대한 OTP(일회성 암호) 설정을 업데이트합니다-이 업데이트는 2.4.7에서 이전 버전과 호환되지 않는 변경으로 인해 발생한 오류를 해결하는 데 필요합니다. 이제 OTP Window 필드에 대한 설명에 설정에 대한 정확한 설명이 있으며 기본값이 1에서 29(으)로 변경되었습니다.

B2B 버전 호환성 - Commerce 버전 2.4.7-p1과의 호환성을 위해 Adobe Commerce B2B 확장 기능이 있는 판매자는 B2B 버전 1.4.2-p1​(으)로 업그레이드해야 합니다.