Notas de versão de patches de segurança do Adobe Commerce 2.4.8
Essas notas de versão de patch de segurança capturam atualizações para aprimorar a segurança da implantação do Adobe Commerce. As informações incluem, entre outras, as seguintes:
- Correções de erros de segurança
- Destaques de segurança que fornecem mais detalhes sobre as melhorias e atualizações incluídas no patch de segurança
- Problemas conhecidos
- Instruções para aplicar patches adicionais, se necessário
- Informações sobre hot fixes incluídos na versão
Saiba mais sobre lançamentos de patch de segurança:
- Visão geral das versões de correção do Adobe Commerce Security
- As instruções para baixar e aplicar versões de patches de segurança estão disponíveis na Como obter e aplicar patches de segurança, na Base de Dados de Conhecimento Adobe Commerce.
2.4.8-p3
A versão de segurança 2.4.8-p3 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.8.
Para obter as últimas informações sobre as correções de erros de segurança, consulte Boletim de Segurança do Adobe APSB25-94.
Destaques
Esta versão inclui os seguintes destaques:
-
Correção do CVE-2025-54236 para resolver uma vulnerabilidade da API REST. A Adobe lançou uma hotfix para esse problema em setembro de 2025. Consulte o artigo da Base de Dados de Conhecimento Ação necessária: Atualização de Segurança Crítica Disponível para o Adobe Commerce (APSB25-88) para obter detalhes.
-
Os desenvolvedores devem revisar a validação do parâmetro do construtor da API REST para saber como atualizar as extensões para estarem em conformidade com essas alterações de segurança.
-
Correção para ACP2E-3874: A resposta da API REST para detalhes do pedido agora contém valores corretos para os atributos
base_row_totalerow_totalem caso de vários itens iguais serem solicitados. -
Correção para AC-15446: Corrigido um erro em
Magento\Framework\Mail\EmailMessageondegetBodyText()tentou chamar um métodogetTextBody()inexistente emSymfony\Component\Mime\Message, garantindo a compatibilidade com Magento 2.4.8-p2 emagento/framework103.0.8-p2. -
Migrar do TinyMCE para o Hugerte.org
Devido ao fim do suporte para o TinyMCE 5 e 6 e às incompatibilidades de licenciamento com o TinyMCE 7, a implementação atual do editor do Adobe Commerce WYSIWYG é migrada do TinyMCE para o editor HugeRTE de código aberto.
Essa migração garante que o Adobe Commerce permaneça em conformidade com o licenciamento de código aberto, evita vulnerabilidades conhecidas do TinyMCE 6 e fornece uma experiência de edição moderna e compatível para comerciantes e desenvolvedores.
-
Suporte adicionado para o protocolo STOMP Apache AtiveMQ Artemis
Adição de suporte para o agente de mensagens de código aberto AtiveMQ Artemis por meio do Simple Text Oriented Messaging Protocol (STOMP). Ele oferece um sistema de mensagens confiável e escalável, oferecendo flexibilidade para integrações baseadas em STOMP. Consulte Apache AtiveMQ Artemis no Guia de Configuração do Commerce.
Problemas conhecidos
A página de check-out não carrega static.min.js e mixins.min.js
Após alterações recentes da CSP/SRI, a página de check-out não carrega static.min.js e mixins.min.js quando o agrupamento e a minificação do JavaScript são ativados no modo de produção. Como resultado, os mixins RequireJS não são executados e os modelos de separação de check-out não são resolvidos (por exemplo, "Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'").
Solução alternativa:
- Desative o agrupamento JavaScript; ou
- Se você mantiver o agrupamento do JavaScript ativado, desative a minificação do JavaScript.
Hotfix:
Uma correção está disponível. Consulte Falha no check-out quando a minificação e o agrupamento JS estiverem habilitados na Base de Dados de Conhecimento para obter detalhes de patch.
2.4.8-p2
A versão de segurança 2.4.8-p2 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.8.
Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB25-71.
2.4.8-p1
A versão de segurança 2.4.8-p1 do Adobe Commerce fornece correções de bugs de segurança para vulnerabilidades identificadas em versões anteriores da 2.4.8.
Para obter as informações mais recentes sobre as correções de erros de segurança, consulte o Boletim de Segurança do Adobe APSB25-50.
Destaques
Esta versão inclui os seguintes destaques:
-
Aprimoramento de desempenho da API—Resolve a degradação de desempenho em pontos de extremidade de API da Web assíncronos em massa que foram introduzidos após o patch de segurança anterior.
-
Correção de acesso de Bloqueios do CMS — Resolve um problema em que os usuários administradores com permissões restritas (como acesso somente de merchandising) não conseguiam exibir a página de listagem CMS Blocks.
Anteriormente, esses usuários encontravam um erro devido a parâmetros de configuração ausentes após a instalação de patches de segurança anteriores.
-
Compatibilidade com limite de cookies — Resolve uma alteração incompatível com versões anteriores envolvendo a constante
MAX_NUM_COOKIESna estrutura. Esta atualização restaura o comportamento esperado e garante a compatibilidade para extensões ou personalizações que interagem com limites de cookies. -
Operações assíncronas — Operações assíncronas restritas para substituir pedidos de clientes anteriores.
-
Correção para CVE-2025-47110—Resolve uma vulnerabilidade de modelos de email.
-
Correção para VULN-31547—Resolve uma vulnerabilidade de link canônico de categoria.
As correções para CVE-2025-47110 e VULN-31547 também estão disponíveis como um patch isolado. Consulte o artigo da Base de Dados de Conhecimento para obter detalhes.