Opmerkingen bij de release voor beveiligingspatches van Adobe Commerce 2.4.5

Oplossing voor CVE-2025-54236 voor een kwetsbaarheid met de REST API. Adobe heeft in september 2025 een hotfix uitgebracht voor dit probleem. Zie de ​ vereiste Actie: Kritieke Update van de Veiligheid Beschikbaar voor Adobe Commerce (APSB25-88) ​ Artikel van de Kennisbank voor details.

De ontwikkelaars moeten ​ REST API de parameterbevestiging van de aannemer ​ herzien om te leren hoe te om uitbreidingen bij te werken om met deze veiligheidsveranderingen volgzaam te zijn.

API prestatiesverhoging - lost prestatiesdegradatie in bulk asynchrone Web API eindpunten op die na het vorige veiligheidspatch werden geïntroduceerd.

de toegangsmoeilijke situatie van de Blokken van CMS - lost een kwestie op waar de gebruikers Admin met beperkte toestemmingen (zoals handel-enige toegang) niet de CMS Blocks lijstpagina konden bekijken.

Eerder, ontmoetten deze gebruikers een fout toe te schrijven aan ontbrekende configuratieparameters na het installeren van vorige veiligheidspatches.

de beperkingsverenigbaarheid van het Koekje - lost een achteruit-onverenigbaar verandering op die de MAX_NUM_COOKIES constante in het kader impliceert. Deze update herstelt verwacht gedrag en verzekert verenigbaarheid voor uitbreidingen of aanpassingen die met koekjesgrenzen in wisselwerking staan.

verrichtingen Async - Beperkte async verrichtingen voor het met voeten treden van vorige klantenorden.

het Leiden encryptiesleutels en re-encrypting gegevens - opnieuw ontworpen het beheren van encryptiesleutels om bruikbaarheid te verbeteren en vorige beperkingen en insecten te elimineren.

De nieuwe bevelen CLI zijn nu beschikbaar voor ​ veranderende ​ sleutels en ​ re-encrypting ​ bepaalde systeemconfiguratie, betaling, en gegevens van het douanegebied. Het wijzigen van toetsen in de interface van Admin wordt niet meer ondersteund in deze release. U moet de bevelen CLI gebruiken.

Reparatie voor ​ CVE-2025-24434 ​ - lost een vergunningskwetsbaarheid op.

Deze oplossing is ook beschikbaar als een geïsoleerde pleister. Zie het ​ artikel van de Kennisbank ​ voor details.

de versiedaling van TinyMCE - het gebiedsdeel TinyMCE is gedowngraded van versie 7 tot 6.8.5 om verlenen van vergunningen compatibiliteitskwesties te behandelen.

Deze wijziging zorgt voor voortdurende naleving, terwijl Adobe een alternatieve open source WYSIWYG-editor evalueert.

verbetering TinyMCE - de ​ redacteur van WYSIWYG ​ in Admin gebruikt nu de recentste versie van het gebiedsdeel TinyMCE (7.3 ​).

• TinyMCE 7.3 biedt een verbeterde gebruikerservaring, betere samenwerking en verbeterde efficiëntie. TinyMCE 5 is verwijderd uit de releaselijn 2.4.8. ​

• Aangezien er een veiligheidskwetsbaarheid (​ CVE-2024-38357 ​) was die in TinyMCE 5.10 wordt gemeld, werd het gebiedsdeel ook bevorderd voor alle momenteel gesteunde versielijnen en inbegrepen in alle de veiligheidspatches van Oktober 2024:

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

Require.js verbetering - Adobe Commerce gebruikt nu de recentste versie van Require.js (2.3.7).

• Aangezien er een veiligheidskwetsbaarheid (​ CVE-2024-38999 ​) in Require.js 2.3.6 werd gemeld, werd het gebiedsdeel ook bevorderd voor alle momenteel gesteunde versielijnen en inbegrepen in alle de veiligheidspatches van oktober 2024:

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

snelheidsbeperking voorone-time passwords - De volgende nieuwe opties van de systeemconfiguratie zijn nu beschikbaar om tarief toe te laten beperkt op two-factor authentication (2FA) one-time password (OTP) bevestiging:

• probeert opnieuw pooggrens voor two-Factor Authentificatie
• two-FactorAuthentificatie lockout tijd (seconden)

Adobe raadt u aan een drempelwaarde voor 2FA OTP-validatie in te stellen om het aantal pogingen tot het beperken van aanvallen met brute krachten te beperken. Zie ​ Veiligheid > 2FA ​ in de Gids van de Verwijzing van de Configuratie voor meer informatie.

de zeer belangrijke omwenteling van de Encryptie - een nieuw CLI bevel is nu beschikbaar voor het veranderen van uw encryptiesleutel. Zie de ​ Zeer belangrijke Omwenteling van de Encryptie van het Oplossen van problemen: CVE-2024-34102 ​ artikel van de Kennisbank voor details.

Repareren voor ​ CVE-2020-27511 ​ - lost a Prototype.js veiligheidskwetsbaarheid op.

Repareren voor ​ CVE-2024-39397 ​ - lost een kwetsbaarheid van de de veiligheidsveiligheid van de verre codeuitvoering op. Deze kwetsbaarheid is van invloed op verkopers die de Apache-webserver gebruiken voor onbedrijfsmatige of zelfgehoste implementaties. Deze oplossing is ook beschikbaar als een geïsoleerde pleister. Zie de ​ update van de Veiligheid beschikbaar voor Adobe Commerce - APSB24-61 ​ artikel van de Kennisbank voor details.

Hotfix om een fout van JavaScript op te lossen die de Kaarten van Google verhinderde behoorlijk in de ​ redacteur PageBuilder terug te geven. Zie de ​ Herziene flarden voor de toegangsverlies van Kaarten van Google op alle versies van Adobe Commerce ​ het artikel van de Kennisbank voor details.

Hotfix om een JSON web token (JWT) valideringsprobleem met betrekking tot CVE-2024-34102 op te lossen. Zie de ​ update van de Veiligheid beschikbaar voor Adobe Commerce-APSB24-40 ​ Artikel van de Kennisbank voor details.

toegevoegde Steun van de Integriteit Subresource (SRI) om aan PCI 4.0 vereisten voor controle van manuscriptintegriteit op betalingspagina's te voldoen. De ondersteuning van Subresource Integrity (SRI) biedt integriteitshashes voor alle JavaScript-elementen die zich in het lokale bestandssysteem bevinden. De standaardSRI eigenschap wordt uitgevoerd slechts op de betalingspagina's voor Admin en storefront gebieden. Handelaars kunnen de standaardconfiguratie echter uitbreiden naar andere pagina's. Zie ​ Integriteit Subresource ​ in de Gids van de Ontwikkelaar van Commerce PHP.

Veranderingen in het Beleid van de Veiligheid van de Inhoud (CSP) - de updates en de verhogingen van de Configuratie aan het Beleid van de Veiligheid van de Veiligheid van de Inhoud van Adobe Commerce (CSPs) om aan PCI 4.0 vereisten te voldoen. Voor details, zie ​ Beleid van de Veiligheid van de Inhoud ​ in de Gids van de Ontwikkelaar van Commerce PHP.

• De standaard CSP-configuratie voor betalingspagina's voor Commerce Admin- en storefront-gebieden is nu restrict -modus. Voor alle andere pagina's is de standaardconfiguratie de modus report-only . In versies vóór 2.4.7, werd CSP gevormd op report-only wijze voor alle pagina's.

• Een Nonce-provider toegevoegd om uitvoering van inline scripts in een CSP toe te staan. De nonce-provider vereenvoudigt het genereren van unieke nonce-tekenreeksen voor elke aanvraag. De tekenreeksen worden vervolgens aan de CSP-header gekoppeld.

• Toegevoegde opties voor het configureren van aangepaste URI's voor het rapporteren van CSP-overtredingen voor de pagina Volgorde maken in Beheer en de pagina Uitchecken in de winkel. U kunt de configuratie toevoegen vanuit de beheerfunctie of door de URI toe te voegen aan het config.xml -bestand.

  note note
  NOTE
  Als u de CSP-configuratie bijwerkt naar de modus restrict , kunnen bestaande inlinescripts op betaalpagina's in de beheerdersinterface en de opslagront worden geblokkeerd. Dit leidt tot de volgende browserfout wanneer een pagina wordt geladen: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src . Verbeter deze fouten door de whitelistconfiguratie bij te werken om vereiste manuscripten toe te staan. Zie ​ het Oplossen van problemen ​ in de Gids van de Ontwikkelaar van Commerce PHP.

Veranderingen in het gedrag van niet-geproduceerde geheim voorgeheugensleutels:

• Niet-gegenereerde cachesleutels voor blokken bevatten nu voorvoegsels die afwijken van voorvoegsels voor toetsen die automatisch worden gegenereerd. (Niet-gegenereerde cachesleutels zijn sleutels die zijn ingesteld via de syntaxis van sjablooninstructies of de methoden setCacheKey of setData .)
• Niet-gegenereerde cachesleutels voor blokken mogen nu alleen letters, cijfers, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten.

Beperkingen op het aantal auto-geproduceerde couponcodes. Commerce beperkt nu het aantal couponcodes dat automatisch wordt gegenereerd. Het standaardmaximum is 250.000. Handelaars kunnen de nieuwe Code Quantity Limit configuratieoptie (Stores > Settings:Configuration > Customers > Promotions) gebruiken om deze nieuwe grens te bepalen.

Varnish geheime voorgeheugen 7.3 steun. Deze release is compatibel met de nieuwste versie van Varnish Cache 7.3. De compatibiliteit blijft behouden met de 6.0.x- en 7.2.x-versies, maar we raden u aan Adobe Commerce 2.4.5-p3 alleen te gebruiken met Varnish Cache versie 7.3 of versie 6.0 LTS.

RabbitMQ 3.11 steun. Deze release is compatibel met de nieuwste versie van RabbitMQ 3.11. Compatibiliteit blijft behouden met RabbitMQ 3.9, dat tot augustus 2023 wordt ondersteund, maar we raden aan Adobe Commerce 2.4.5-p3 alleen te gebruiken met RabbitMQ 3.11.

bibliotheken van JavaScript. Verouderde JavaScript-bibliotheken zijn bijgewerkt naar de nieuwste secundaire versies of patchversies, waaronder moment.js library (v2.29.4), jQuery UI library (v1.13.2) en jQuery validatie-insteekbibliotheek (v1.19.5).