DokumentationHandelVersionsinformation

[Endast PaaS]{class="badge informative" title="Gäller endast Adobe Commerce i molnprojekt (Adobe-hanterad PaaS-infrastruktur) och lokala projekt."}

Versionsinformation om säkerhetsuppdateringar för Adobe Commerce 2.4.7

Last update: Thu May 08 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Ämnen:

Skapat för:

  • Erfaren
  • Administratör
  • Utvecklare

Dessa säkerhetsuppdateringar hämtar uppdateringar för att förbättra säkerheten i Adobe Commerce-distributionen. Informationen omfattar, men är inte begränsad till, följande:

  • Säkerhetsfelkorrigeringar
  • Säkerhetsförbättringar som ger mer information om förbättringar och uppdateringar som ingår i säkerhetsuppdateringen
  • Kända fel
  • Instruktioner för att vid behov lägga till ytterligare patchar
  • Information om eventuella snabbkorrigeringar i releasen

Läs mer om säkerhetsuppdateringar:

2.4.7-p5

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p5 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB25-26.

NOTE
När säkerhetsuppdateringen har installerats måste Adobe Commerce B2B-handlare även uppdatera till den senaste kompatibla versionen av B2B-säkerhetsuppdateringen. Se Versionsinformation för B2B.

Högdagrar

System > Support > Data Collector supportverktyget har tagits bort för att förhindra obehörig åtkomst och förbättra plattformssäkerheten.

recommendation-more-help

Den här versionen innehåller även stöd för Adobe Commerce HIPAA-klart tillägg.

style
shade-box

Kända fel

Problem: När du installerar 2.4.7-p5 med PHP 8.2 eller senare installeras paypal/module-braintree version 4.7.0, som är avsedd för 2.4.8 och senare. För PHP 8.1 används rätt version av Braintree 4.6.1-p5. Den här felmatchningen beror på det lösa beroendet av adobe-commerce/extensions-metapackage: ~2.0 i metapaketet. Detta påverkar kompatibiliteten och de funktioner som stöds för PHP 8.2±distributioner.

Dessutom kan Braintree-tillägget version 4.6.1-p5 installeras för version 2.4.7-p4 och 2.4.7-p5, medan vissa användare förväntar sig version 4.6.1-p3 eller p4 på grund av att tidigare strängare beroenden har avspänts för att tillåta tilläggsuppgraderingar inom en versionslinje.

Tillfällig lösning: Om du vill vara säker på att du har rätt Braintree-version för PHP-versionen kör du composer update och installerar rätt version enligt beroendet för adobe-commerce/extensions-metapackage:2.0.0.

2.4.7-p4

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p4 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB25-08.

NOTE
När säkerhetsuppdateringen har installerats måste Adobe Commerce B2B-handlare även uppdatera till den senaste kompatibla versionen av B2B-säkerhetsuppdateringen. Se Versionsinformation för B2B.

Högdagrar

Den här versionen innehåller följande markering:

  • Hantera krypteringsnycklar och kryptera om data - Omdesignad hantering av krypteringsnycklar för att förbättra användbarheten och eliminera tidigare begränsningar och fel.

    Nya CLI-kommandon finns nu tillgängliga för ändring av-nycklar och omkryptering av vissa systemkonfigurationer, betalningar och anpassade fältdata. Det finns inte längre stöd för att ändra nycklar i administratörsgränssnittet i den här versionen. Du måste använda CLI-kommandona.

  • Korrigera för CVE-2025-24434 - Åtgärdar ett auktoriseringsfel.

    Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i kunskapsbasartikeln.

2.4.7-p3

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p3 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-73.

NOTE
När säkerhetsuppdateringen har installerats måste Adobe Commerce B2B-handlare även uppdatera till den senaste kompatibla versionen av B2B-säkerhetsuppdateringen. Se Versionsinformation för B2B.

Högdagrar

Den här versionen innehåller följande högdagrar:

  • TinyMCE-uppgradering - WYSIWYG-redigeraren i Admin använder nu den senaste versionen av TinyMCE-beroendet (7.3-​).

    • TinyMCE 7.3 ger en förbättrad användarupplevelse, bättre samarbete och ökad effektivitet. TinyMCE 5 har tagits bort från versionslinjen 2.4.8. ​

    • Eftersom ett säkerhetsproblem (CVE-2024-38357) rapporterades i TinyMCE 5.10, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js-uppgradering - Adobe Commerce använder nu den senaste versionen av Require.js (2.3.7).

    • Eftersom ett säkerhetsproblem (CVE-2024-38999) rapporterades i Require.js 2.3.6, uppgraderades beroendet för alla versionsrader som stöds och inkluderades i alla säkerhetspatchar från oktober 2024:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
Dessa uppdateringar är bakåtkompatibla och bör inte påverka anpassningar och tillägg. ​

Programfixar som ingår i den här versionen

Den här versionen innehåller en snabbkorrigering som löser ett problem med Braintree betalningsgateway.

Systemet innehåller nu de fält som krävs för att uppfylla kraven för 3DS VISA-mandat när Braintree används som betalningsgateway. Detta säkerställer att alla transaktioner överensstämmer med de senaste säkerhetsstandarderna från VISA. Tidigare ingick inte dessa ytterligare fält i den betalningsinformation som skickades, vilket kunde ha lett till att de nya kraven för VISA inte hade uppfyllts.

2.4.7-p2

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p2 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-61.

Högdagrar

Den här versionen innehåller följande högdagrar:

  • Hastighetsbegränsning förone-time passwords - Följande nya systemkonfigurationsalternativ finns nu tillgängliga för att aktivera hastighetsbegränsning vid two-factor authentication (2FA) one-time password (OTP) -validering:

    • Gräns för nya försök för tvåfaktorsautentisering
    • Tvåfaktorautentisering, utelåsningstid (sekunder)

    Adobe rekommenderar att man ställer in ett tröskelvärde för 2FA-validering av engångslösenord för att begränsa antalet nya försök att mildra brutna attacker. Mer information finns i Säkerhet > 2FA i referenshandboken för konfiguration.

  • Rotation av krypteringsnyckel - Nu finns ett nytt CLI-kommando tillgängligt för ändring av krypteringsnyckeln. Mer information finns i artikeln Troubleshooting Encryption Key Rotation (Felsökning av krypteringsnyckelrotation): CVE-2024-34102 i kunskapsbasen.

  • Korrigera för CVE-2020-27511 - Åtgärdar ett Prototype.js säkerhetsproblem.

  • Korrigera för CVE-2024-39397 - Åtgärdar ett säkerhetslucka för fjärrexekvering av kod. Säkerhetsluckan påverkar handlare som använder webbservern Apache för lokala eller självhanterade distributioner. Den här korrigeringen finns även som en isolerad korrigering. Mer information finns i artikeln Säkerhetsuppdatering för Adobe Commerce - APSB24-61 i kunskapsbasen.

Programfixar som ingår i den här versionen

Den här versionen innehåller följande snabbkorrigeringar:

2.4.7-p1

Säkerhetsutgåvan av Adobe Commerce 2.4.7-p1 innehåller säkerhetsfelkorrigeringar för säkerhetsluckor som har identifierats i tidigare versioner av 2.4.7.

Den senaste informationen om säkerhetsfelkorrigeringarna finns i Adobe säkerhetsbulletin APSB24-40.

Programfix för CVE-2024-34102

IMPORTANT
Det här är en brådskande uppdatering av vårt senaste meddelande om CVE-2024-34102. Adobe är medvetna om att CVE-2024-34102 har utnyttjats i mycket begränsade attacker mot Adobe Commerce handlare. Åtgärda snabbt problemet, om du inte gjort det.

För kunder som inte har använt säkerhetspatchen som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

Alternativ 1:

  1. Använd en av säkerhetspatcharna som släpptes den 11 juni 2024:

  2. Använd den snabbkorrigering som släpptes 17 juli 2024.

  3. Rotera krypteringsnycklar.

Alternativ 2:

  1. Använd den isolerade korrigeringen.

  2. Rotera krypteringsnycklar.

För kunder som redan har tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller den isolerade korrigeringen som släpptes den 28 juni 2024:

  1. Använd den snabbkorrigering som släpptes 17 juli 2024.

  2. Rotera krypteringsnycklar.

För kunder som redan har 1) tillämpat en säkerhetsuppdatering som släpptes den 11 juni 2024 eller 2) den isolerade korrigeringen som släpptes den 28 juni 2024 och 3) roterade sina krypteringsnycklar:

  1. Använd den snabbkorrigering som släpptes 17 juli 2024.

Högdagrar

Den här versionen innehåller följande högdagrar:

  • Uppdatera inställningarna för engångslösenord (OTP) för Google-autentiseraren-Den här uppdateringen krävs för att åtgärda ett fel som uppstod vid en bakåtkompatibel ändring i 2.4.7. Beskrivningen av fältet OTP Window ger nu en korrekt förklaring av inställningen och standardvärdet har ändrats från 1 till 29.

  • Kompatibilitet med B2B-versioner - För kompatibilitet med Commerce version 2.4.7-p1 måste handlare som har Adobe Commerce B2B-tillägget uppgradera till B2B version 1.4.2-p1.

Programfixar som ingår i den här versionen

Adobe Commerce 2.4.7-p1 åtgärdar ett fel som introducerats i omfattningen av UPS-integreringsmigreringen från SOAP till REST API. Detta problem påverkade kunder som levererar utanför USA och förhindrade dem från att använda måtten för kilo och centimeter för paket för att skapa leveranser med UPS. Mer information finns i artikeln Migrering av UPS-leveransmetodintegrering från SOAP till RESTful API i kunskapsbasen.

1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f