Patch de segurança disponível

Os comerciantes agora podem instalar correções de segurança com prazo confidencial sem aplicar as centenas de correções e aprimoramentos funcionais que uma versão trimestral completa oferece (por exemplo, 2.4.1-p1). O Patch 2.4.0.12 (Pacote do Composer 2.4.1-p1) é um patch de segurança que fornece correções para vulnerabilidades identificadas na versão anterior trimestral, 2.4.1. Todos os hot fixes aplicados à versão 2.4.1 estão incluídos neste patch de segurança. (Um hot fix fornece uma correção para uma versão lançada que aborda um problema ou erro específico.)

Para obter informações gerais sobre patches de segurança, consulte Introdução à Nova Versão do Patch de Segurança. Para obter instruções sobre como baixar e aplicar patches de segurança (incluindo o patch 2.4.1-p1), consulte Instalação rápida no local. Os patches de segurança incluem apenas correções de bugs de segurança, não as melhorias de segurança adicionais incluídas no patch completo.

Outras informações sobre a versão

Embora o código para esses recursos esteja incluído nas versões trimestrais , vários desses projetos (por exemplo, B2B, Page Builder e Progressive Web Application (PWA) Studio) também são lançados independentemente. As correções de erros para esses projetos estão documentadas nas informações de versão separadas e específicas do projeto, disponíveis na documentação de cada projeto.

Destaques

Procure os seguintes destaques nesta versão.

Aprimoramentos substanciais de segurança

Esta versão inclui mais de 35 correções de segurança e melhorias na segurança da plataforma. Todas as correções de segurança tiveram backport para 2.4.1-p1 e 2.3.6-p1.

Mais de 35 aprimoramentos de segurança que ajudam a fechar as vulnerabilidades de execução remota de código (RCE) e criação de script entre sites (XSS)

Nenhum ataque confirmado relacionado a esses problemas ocorreu até o momento. No entanto, certas vulnerabilidades podem ser potencialmente exploradas para acessar informações do cliente ou assumir o controle de sessões de administrador. A maioria desses problemas exige que um invasor obtenha acesso ao Administrador primeiro. Como resultado, lembramos você de tomar todas as medidas necessárias para proteger seu Administrador, incluindo, mas não limitado a, esses esforços: incluir na lista de permissões de IP, autenticação de dois fatores, uso de uma VPN, uso de um local exclusivo em vez de /admin e boa higiene de senha. Consulte o Boletim de Segurança de Adobe para ver uma discussão sobre esses problemas corrigidos.

Aprimoramentos adicionais de segurança

Os aprimoramentos de segurança para esta versão incluem:

  • Todos os cookies principais agora oferecem suporte ao atributo SameSite.

  • O aplicativo agora exibe mensagens que identificam conteúdo potencialmente mal-intencionado nos campos de descrição do produto e da categoria quando o usuário tenta salvar valores nesses campos.

  • As operações do sistema de arquivos nos Componentes foram padronizadas e fortalecidas para evitar uploads mal-intencionados.

  • As violações da Política de Segurança de Conteúdo (CSP) principal foram corrigidas.

NOTE
A partir da versão 2.3.2, atribuiremos e publicaremos números indexados de vulnerabilidades e exposições comuns (CVE) com cada erro de segurança relatado a nós por terceiros. Isso permite que os usuários identifiquem mais facilmente vulnerabilidades não solucionadas na implantação. Você pode saber mais sobre os identificadores CVE em CVE.