DocumentaçãoCommerceInformações da versão

[Somente PaaS]{class="badge informative" title="Aplica-se somente a projetos do Adobe Commerce na nuvem (infraestrutura do PaaS gerenciada pela Adobe) e a projetos locais."}

Notas de versão de patches de segurança do Adobe Commerce 2.4.7

Last update: Thu Oct 30 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Tópicos:

Criado para:

  • Experiente
  • Administrador
  • Desenvolvedor

Essas notas de versão de patch de segurança capturam atualizações para aprimorar a segurança da implantação do Adobe Commerce. As informações incluem, entre outras, as seguintes:

  • Correções de erros de segurança
  • Destaques de segurança que fornecem mais detalhes sobre as melhorias e atualizações incluídas no patch de segurança
  • Problemas conhecidos
  • Instruções para aplicar patches adicionais, se necessário
  • Informações sobre hot fixes incluídos na versão

Saiba mais sobre lançamentos de patch de segurança:

2.4.7-p8

A versão de segurança do Adobe Commerce 2.4.7-p8 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.7.

Para obter as últimas informações sobre as correções de erros de segurança, consulte Boletim de Segurança do Adobe APSB25-94.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Esta versão inclui os seguintes destaques:

  • Correção do CVE-2025-54236 para resolver uma vulnerabilidade da API REST. A Adobe lançou uma hotfix para esse problema em setembro de 2025. Consulte o artigo da Base de Dados de Conhecimento Ação necessária: Atualização de Segurança Crítica Disponível para o Adobe Commerce (APSB25-88) para obter detalhes.

  • Os desenvolvedores devem revisar a validação do parâmetro do construtor da API REST para saber como atualizar as extensões para estarem em conformidade com essas alterações de segurança.

  • Migrar do TinyMCE para o Hugerte.org

    Devido ao fim do suporte para o TinyMCE 5 e 6 e às incompatibilidades de licenciamento com o TinyMCE 7, a implementação atual do editor do Adobe Commerce WYSIWYG é migrada do TinyMCE para o editor HugeRTE de código aberto.

    Essa migração garante que o Adobe Commerce permaneça em conformidade com o licenciamento de código aberto, evita vulnerabilidades conhecidas do TinyMCE 6 e fornece uma experiência de edição moderna e compatível para comerciantes e desenvolvedores.

  • Suporte adicionado para o protocolo STOMP Apache AtiveMQ Artemis

    Adição de suporte para o agente de mensagens de código aberto AtiveMQ Artemis por meio do Simple Text Oriented Messaging Protocol (STOMP). Ele oferece um sistema de mensagens confiável e escalável, oferecendo flexibilidade para integrações baseadas em STOMP. Consulte Apache AtiveMQ Artemis no Guia de Configuração do Commerce.

Problemas conhecidos

A página de check-out não carrega static.min.js e mixins.min.js

Após alterações recentes da CSP/SRI, a página de check-out não carrega static.min.js e mixins.min.js quando o agrupamento e a minificação do JavaScript são ativados no modo de produção. Como resultado, os mixins RequireJS não são executados e os modelos de separação de check-out não são resolvidos (por exemplo, "Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'").

Solução alternativa:

  • Desative o agrupamento JavaScript; ou
  • Se você mantiver o agrupamento do JavaScript ativado, desative a minificação do JavaScript.
IMPORTANT
Não desative a CSP ou remova as proteções da SRI em produção. Qualquer desvio no nível do plug-in deve ser usado somente como último recurso para uma correção e deve ser revisado pela equipe de segurança.

Hotfix:

Uma correção está disponível. Consulte Falha no check-out quando a minificação e o agrupamento JS estiverem habilitados na Base de Dados de Conhecimento para obter detalhes de patch.

2.4.7-p7

A versão de segurança do Adobe Commerce 2.4.7-p7 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.7.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB25-71.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

2.4.7-p6

A versão de segurança 2.4.7-p6 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.7.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB25-50.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Destaques

Esta versão inclui os seguintes destaques:

  • Suporte a MariaDB—Suporte a MariaDB 10.11 adicionado.

  • Aprimoramento de desempenho da API—Resolve a degradação de desempenho em pontos de extremidade de API da Web assíncronos em massa que foram introduzidos após o patch de segurança anterior.

  • Correção de acesso de Bloqueios do CMS — Resolve um problema em que os usuários administradores com permissões restritas (como acesso somente de merchandising) não conseguiam exibir a página de listagem CMS Blocks.

    Anteriormente, esses usuários encontravam um erro devido a parâmetros de configuração ausentes após a instalação de patches de segurança anteriores.

  • Compatibilidade com limite de cookies — Resolve uma alteração incompatível com versões anteriores envolvendo a constante MAX_NUM_COOKIES na estrutura. Esta atualização restaura o comportamento esperado e garante a compatibilidade para extensões ou personalizações que interagem com limites de cookies.

  • Operações assíncronas — Operações assíncronas restritas para substituir pedidos de clientes anteriores.

2.4.7-p5

A versão de segurança do Adobe Commerce 2.4.7-p5 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.7.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB25-26.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Destaques

A ferramenta de suporte System > Support > Data Collector foi removida para impedir o acesso não autorizado e aprimorar a segurança da plataforma.

recommendation-more-help

Esta versão também apresenta suporte para a extensão pronta para HIPAA do Adobe Commerce.

style
shade-box

Problemas conhecidos

Problema: ao instalar o 2.4.7-p5 com o PHP 8.2 ou superior, o sistema instala o paypal/module-braintree versão 4.7.0, que se destina ao 2.4.8 e mais recente. Para o PHP 8.1, é usada a versão correta 4.6.1-p5 do Braintree. Esta incompatibilidade se deve à dependência flexível em adobe-commerce/extensions-metapackage: ~2.0 no metapackage. Isso afeta a compatibilidade e o conjunto de recursos suportados para implantações do PHP 8.2+.

Além disso, para as versões 2.4.7-p3, 2.4.7-p4 e 2.4.7-p5, a extensão do Braintree versão 4.6.1-p5 pode ser instalada, enquanto alguns usuários esperam 4.6.1-p3 ou p4, devido a dependências mais rigorosas anteriores terem sido relaxadas para permitir atualizações de extensão em uma linha de versão.

Solução alternativa: para garantir que você tenha a versão correta do Braintree para a sua versão do PHP, execute composer update para instalar a versão apropriada conforme determinado pela dependência adobe-commerce/extensions-metapackage:2.0.0.

2.4.7-p4

A versão de segurança 2.4.7-p4 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.7.

Para obter as últimas informações sobre as correções de erros de segurança, consulte Boletim de Segurança do Adobe APSB25-08.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Destaques

Esta versão inclui os seguintes destaques:

  • Gerenciando chaves de criptografia e criptografando dados novamente—O gerenciamento de chaves de criptografia foi reprojetado para melhorar a usabilidade e eliminar bugs e limitações anteriores.

    Novos comandos CLI agora estão disponíveis para alterar chaves e criptografar novamente determinadas configurações do sistema, pagamento e dados de campos personalizados. Não há mais suporte para a alteração de chaves na interface do Administrador nesta versão. Você deve usar os comandos da CLI.

  • Correção para CVE-2025-24434—Resolve uma vulnerabilidade de autorização.

    Essa correção também está disponível como um patch isolado. Consulte o artigo da Base de Dados de Conhecimento para obter detalhes.

  • Downgrade de versão do TinyMCE—A dependência do TinyMCE foi rebaixada da versão 7 para a 6.8.5 para resolver problemas de compatibilidade de licenciamento.

    Essa alteração garante a conformidade contínua enquanto a Adobe avalia um editor alternativo de código aberto do WYSIWYG.

2.4.7-p3

A versão de segurança 2.4.7-p3 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.7.

Para obter as últimas informações sobre as correções de erros de segurança, consulte Boletim de Segurança do Adobe APSB24-73.

NOTE
Depois de instalar esse patch de segurança, os comerciantes B2B do Adobe Commerce também devem atualizar para a versão mais recente do patch de segurança B2B compatível. Consulte as notas de versão B2B.

Destaques

Esta versão inclui os seguintes destaques:

  • Atualização do TinyMCE—O editor do WYSIWYG no Administrador agora usa a versão mais recente da dependência do TinyMCE (7.3​).

    • O TinyMCE 7.3 oferece uma experiência de usuário aprimorada, melhor colaboração e maior eficiência. O TinyMCE 5 foi removido da linha da versão 2.4.8​

    • Como havia uma vulnerabilidade de segurança (CVE-2024-38357) relatada no TinyMCE 5.10, a dependência também foi atualizada para todas as linhas de versão atualmente com suporte e incluídas em todos os patches de segurança de outubro de 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Atualização do Require.js—O Adobe Commerce agora usa a versão mais recente do Require.js (2.3.7).

    • Como havia uma vulnerabilidade de segurança (CVE-2024-38999) relatada no Require.js 2.3.6, a dependência também foi atualizada para todas as linhas de versão atualmente com suporte e incluída em todos os patches de segurança de outubro de 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Essas atualizações são compatíveis com versões anteriores e não devem afetar personalizações e extensões.​

Hotfixes incluídos nesta versão

Esta versão inclui uma correção para resolver um problema com o gateway de pagamento da Braintree.

O sistema agora inclui os campos necessários para atender aos requisitos de autorização do 3DS VISA ao usar o Braintree como um gateway de pagamento. Isso garante que todas as transações cumpram com as mais recentes normas de segurança definidas pela VISA. Anteriormente, esses campos adicionais não eram incluídos nas informações de pagamento enviadas, o que poderia ter levado ao não cumprimento dos novos requisitos de VISTO.

2.4.7-p2

A versão de segurança 2.4.7-p2 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.7.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB24-61.

Destaques

Esta versão inclui os seguintes destaques:

  • Limitação de taxa paraone-time passwords—As novas opções de configuração do sistema a seguir estão disponíveis para habilitar a limitação de taxa na validação two-factor authentication (2FA) one-time password (OTP):

    • Limite de novas tentativas para Autenticação de Dois Fatores
    • Tempo de bloqueio da Autenticação de Dois Fatores (segundos)

    A Adobe aconselha definir um limite para a validação OTP 2FA para limitar o número de tentativas de mitigação de ataques de força bruta. Consulte Segurança > 2FA no Guia de Referência de Configuração para obter mais informações.

  • Rotação de chave de criptografia—Um novo comando da CLI agora está disponível para alterar sua chave de criptografia. Consulte o artigo da Base de Dados de Conhecimento Solução de Problemas de Rotação de Chaves de Criptografia: CVE-2024-34102 para obter detalhes.

  • Correção para CVE-2020-27511—Resolve uma vulnerabilidade de segurança Prototype.js.

  • Correção para CVE-2024-39397—Resolve uma vulnerabilidade de segurança na execução remota de código. Essa vulnerabilidade afeta os comerciantes que usam o servidor Web Apache para implantações locais ou auto-hospedadas. Essa correção também está disponível como um patch isolado. Consulte o artigo Atualização de segurança disponível para o Adobe Commerce - APSB24-61 Knowledge Base para obter detalhes.

Hotfixes incluídos nesta versão

Esta versão do inclui os seguintes hotfixes:

2.4.7-p1

A versão de segurança do Adobe Commerce 2.4.7-p1 fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores do 2.4.7.

Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB24-40.

Aplicar hotfix para CVE-2024-34102

IMPORTANT
Esta é uma atualização urgente para nossa última comunicação sobre o CVE-2024-34102. A Adobe está ciente de que o CVE-2024-34102 foi explorado na natureza em ataques muito limitados direcionados aos comerciantes do Adobe Commerce. Tome medidas imediatas para resolver a vulnerabilidade, se ainda não tiver feito isso.

Para clientes que não aplicaram o patch de segurança lançado em 11 de junho de 2024 ou o patch isolado lançado em 28 de junho de 2024:

Opção 1:

  1. Aplique um dos patches de segurança lançados em 11 de junho de 2024:

  2. Aplique o hotfix lançado em 17 de julho de 2024.

  3. Girar chaves de criptografia.

Opção 2:

  1. Aplicar o patch isolado.

  2. Girar chaves de criptografia.

Para clientes que já aplicaram um patch de segurança lançado em 11 de junho de 2024 ou o patch isolado lançado em 28 de junho de 2024:

  1. Aplique o hotfix lançado em 17 de julho de 2024.

  2. Girar chaves de criptografia.

Para clientes que já tenham 1) aplicado um patch de segurança lançado em 11 de junho de 2024 ou 2) o patch isolado lançado em 28 de junho de 2024 e 3) girado suas chaves de criptografia:

  1. Aplique o hotfix lançado em 17 de julho de 2024.

Destaques

Esta versão inclui os seguintes destaques:

  • Atualizar configurações de senha única para o Google Authenticator-Esta atualização é necessária para resolver um erro introduzido por uma alteração incompatível com versões anteriores na versão 2.4.7. A descrição do campo OTP Window agora fornece uma explicação precisa da configuração e o valor padrão foi alterado de 1 para 29.

  • Compatibilidade com a versão B2B — Para compatibilidade com o Commerce versão 2.4.7-p1, os comerciantes que têm a extensão B2B do Adobe Commerce devem atualizar para a versão B2B versão 1.4.2-p1.

Hotfixes incluídos nesta versão

O Adobe Commerce 2.4.7-p1 resolve um problema introduzido no escopo da migração de integração de UPS do SOAP para a API REST. Esse problema afetou os clientes que enviavam para fora dos EUA e os impediu de usar as medições do Sistema de Métrica/SI de quilogramas e centímetros para que os pacotes criassem remessas com a UPS. Consulte o artigo da base de conhecimento Migração da integração do método de envio UPS do SOAP para a API RESTful para obter mais detalhes.

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f