仅限PaaS

Magento Open Source2.4.1发行说明

最近更新: 2025年5月5日
  • 主题:

创建对象:

  • 有经验的
  • 管理员
  • 开发人员

Magento Open Source2.4.1引入了性能和安全性增强功能。 安全增强功能包括支持Cookie的SameSite属性,为与支付和订单相关的API端点以及下单店面页面添加了CAPTCHA保护。

此版本包括2.4.0中包含的所有核心质量改进、核心代码的150多项新修复以及超过15项安全增强功能。 其中包括我们的社区成员解决近300个GitHub问题。 这些社区贡献的内容包括对核心代码进行次要清理,以及GraphQL中的重大增强。

此版本中修复了2.4.0中识别的所有已知问题。

NOTE
Adobe Commerce版本可能包含向后不兼容的更改(BIC)。 要查看与向后不兼容的更改,请参阅BIC参考。 在BIC亮点中描述了严重的向后不兼容问题。 并非所有发行版本都引进了主要BIC。

安全补丁可用

商家现在无需应用完整季度版本(例如2.4.0-p1)提供的数百个功能修复和增强功能,即可安装时效性很强的安全修复。 修补程序2.4.0.1(Composer包2.4.0-p1)是一个安全修补程序,它针对我们以前的季度版本2.4.0中发现的漏洞提供了修复。此安全修补程序中包含应用于2.4.0版本的所有修补程序。 (修补程序 ​提供对已发布版本的修补程序,该版本可解决特定问题或错误。)

有关安全修补程序的一般信息,请参阅Introducing the New Security Patch Release。 有关下载和应用安全修补程序(包括修补程序2.3.5-p2)的说明,请参阅快速入门本地安装。 安全修补程序仅包括安全错误修复,而不包括完整修补程序中包含的其他安全增强功能。

应用AC-3022.patch以继续将DHL作为装运承运人提供

DHL已引入架构版本6.2,并且将在不久的将来弃用架构版本6.0。 支持DHL集成的Adobe Commerce 2.4.4及更早版本仅支持版本6.0。部署这些版本的商家应尽早应用AC-3022.patch,以继续将DHL作为装运承运人提供。 有关下载和安装修补程序的信息,请参阅应用修补程序以继续将DHL作为运输运营商提供知识库文章。

其他发行信息

虽然这些功能的代码与季度版本捆绑在一起,但其中几个项目(例如,Progressive Web Application(PWA)Studio)也单独发布。 每个项目的文档中都提供了特定于项目的单独发行信息,其中记录了这些项目的错误修复。

高亮

在此版本中查找以下要点。

显着的安全增强功能

此版本包括15项以上的安全修复和平台安全改进。 所有安全修复均已回溯至2.4.0-p1和2.3.6。

超过15项安全增强功能,可帮助消除远程代码执行(RCE)和跨站点脚本(XSS)漏洞

到目前为止,尚未发生与这些问题相关的已确认攻击。 但是,可能会利用某些漏洞访问客户信息或接管管理员会话。 这些问题中的大多数要求攻击者首先获得对管理员的访问权限。 列入允许列表因此,我们提醒您采取一切必要步骤来保护您的管理员,包括但不限于:IP身份验证、双重身份验证、使用VPN、使用唯一位置而非/admin以及良好的密码卫生。 有关这些已修复问题的讨论,请参阅可用于Magento的安全更新。

其他安全增强功能

此版本的安全性改进包括:

  • CAPTCHA ​保护已添加到以下产品区域:

    • 下单店面页面和REST和GraphQL端点
    • 与付款相关的REST和GraphQL端点。

    默认情况下,将禁用对这些附加页面的验证码保护。 它可以在管理员中启用,其启用方式与验证码涵盖的其他页面相同。 此保护已添加为反暴力机制,以保护商店免受梳理攻击。 请参阅验证码

  • 支持Cookie的SameSite属性。 为了支持新Cookie分类系统的Google Chrome实施,已更新处理Cookie的应用程序类以支持SameSite Cookie属性。 此属性默认设置为Lax,但可以显式覆盖。

  • 增强的安全扫描工具。 Adobe已与Sanguine Security(防止数字盗版的领先者)合作,将其超过8700个威胁签名的数据库集成到安全扫描工具中。 这种合作关系将使商家能够通过主动检测恶意软件并减少误报,实时了解其网站的安全状态。 商家可以通过访问https://account.magento.com/scanner注册该工具。 有关详细信息,请参阅使用增强的安全扫描工具保护您的店面博客文章。

NOTE
从2.3.2版本开始,我们将分配并发布索引式常见漏洞和暴露(CVE)编号,其中会包含外部方报告给我们的每个安全错误。 这使用户能够更轻松地识别其部署中未解决的漏洞。 您可以在CVE了解有关CVE标识符的更多信息。

基础架构改进

此版本包含对核心质量的增强,这些改进改进了Framework以及以下功能区域的质量:客户帐户、目录、CMS、OMS、导入/导出、促销和定位、购物车和结账以及暂存和预览。

性能改进

  • 减少Redis与Magento之间的网络传输大小。 现在在执行bin/magento di:compile命令期间生成插件列表配置。 此配置信息会根据作用域写入生成的元数据文件夹。 以前,此信息存储在缓存中。 产生的性能改进包括减少网络缓存大小和执行时间(对于许多情形)。

  • 增强的消息队列使用者性能。 三个新的配置设置支持减少使用者队列CPU消耗。 这些可选参数可增强对使用者的控制并节省服务器资源。 有关maxIdleTimesleeponlySpawnWhenMessageAvailable参数的说明,请参阅配置消息队列

  • 已改进bin/magento命令的执行时间

Adobe Stock集成

此版本包括Adobe Stock集成v2.1.0。

新建媒体集

新媒体集现在默认在Admin中启用。 商家现在可以对媒体集中的图像执行以下操作:

  • 批量删除图像

  • 通过识别店面未使用的重复图像和图像优化媒体存储

  • 按图像使用的店面区域筛选图像,包括产品和类别内容以及CMS块

  • 使用图像元数据

    • 查看上传到媒体集的图像中的元数据
    • 编辑图像元数据(标题、描述和关键字)
    • 按图像的元数据搜索图像

GraphQL

此版本添加了GraphQL涵盖以下功能的功能:

有关这些增强功能的详细信息,请参阅GraphQL开发人员指南

PWA Studio

PWA Studio v8.0.0引入了以下新增功能和增强功能:

  • 对适用于设计令牌、排版规则、颜色、核心组件和页面布局的Venia样式指南进行了更新。

  • 改进了Venia迷你购物车体验

  • 对Venia店面上的多个区域设置和本地化内容的初始支持

  • 对Venia店面的“我的帐户”体验进行了多项改进

有关PWA Studio版本及其兼容版本的列表,请参阅兼容性。 有关增强功能和错误修复的信息,请参阅PWA Studio版本

功能测试框架(MFTF)

MFTF 3.1.0现已可用。 请参阅功能测试框架更改日志

供应商开发的扩展

有关此版本功能和更改的更新,请参阅以下文章:

修复的问题

我们已在2.4.1核心代码中修复了数百个问题。

安装、升级、部署

  • 在CLI命令中使用依赖于Store模块API的第三方扩展进行安装不会再失败。 以前,应用程序显示此错误消息: The default website isn't defined. Set the website and try again。 这是2.4.0中的一个已知问题。
  • bin/magento setup:di:compile不再引发致命错误。 以前,在您第一次运行此命令时,应用程序会引发错误,但第二次执行会导致编译成功。
  • Magento\Framework\Encryption\Encryptor上声明插件后,升级不再失败。
  • 运行bin/magento setup:static-content:deploy后未部署某些主题时,应用程序现在会显示信息性错误消息。 以前,当部署成功完成但未部署所有包时,应用程序不会显示错误。 当在启用并行处理的情况下执行命令,并且每个主题需要部署的时间超过指定的最大执行时间时,尽管未部署主题,但此命令可以成功完成。
  • 网站范围更改时,Klarna付款的​ 使用默认 ​复选框(商店 > 配置 > 销售 > 付款方式 > Klarna)现在仍按预期保持选中状态。
  • 升级不再导致Galera群集突然失败。 以前,Galera群集在升级后立即重新索引后突然退出。 在升级过程中,索引表被更改,引擎从MEMORY更改为InnoDB。 此时,这些表的内容在Galera群集的节点之间变得不同步。 GitHub-25334
  • 禁用PageBuilder模块不再影响产品页面的呈现。 以前,在禁用模块时,产品页面上的自定义布局会消失,并且应用程序会显示一个空白页面。
  • 使用编辑器安装Magento Open Source后,您现在可以使用bin/magento sampledata:deploy按预期部署示例数据。 以前,应用程序引发此错误: Git installations must deploy sample data from GitHub; see [Clone sample data Git repositories](../../../installation/sample-data/git-repositories.md) for more informationAndrii Beziazychnyi在拉取请求中提交的修复27481GitHub-19481
  • 运行bin/magento config:show <vendor_module>/general/value现在会按预期返回0或空字符串。 以前,它返回Configuration for path: "vendor_module/general/value" doesn't existVadim Malesh在拉取请求中提交的修复28549GitHub-23290
  • bin/magento setup:static-content:deploy --language=all现在部署店面上使用的所有语言以及管理员用户配置的所有语言(未设置语言参数时)。 (en_US始终默认部署。)Anton Evers在拉取请求中提交的修复289224}。GitHub-29218
  • 目录图像帮助程序初始化现在使用产品模型,而不是DataObject在拉取请求29435 ​中由jmonteros422提交的修复。 GitHub-1711
  • 管理员用户现在可以保存空的​ 客户令牌生命周期(小时) ​字段(管理员​ 商店 > 配置 > 服务 > OAuth > 访问令牌过期)。 GitHub-29502

Adobe Stock集成

  • Adobe Stock图库图像详细信息页面的​ 用于 ​字段现在可以准确识别该图像是否与产品关联。 Nazar Klovanych在拉取请求中提交的修复28798GitHub-1474
  • \Magento\MediaGallery\Model\ResourceModel\Keyword\SaveAssetsKeywords::execute现在会删除指向参数上未指定的关键字的链接,并在编辑图像详细信息时删除关键字标记时插入新链接。 在拉取请求29207 ​中由jmonteros422提交的修复。 GitHub-1391
  • 当商家为以前保存的、未授权的Adobe Stock图像单击​ 许可证 ​时,应用程序显示的Login failed消息不再包含HTML标记。 由您的用户在拉取请求中提交的修复29398GitHub-1684
  • 单击“图像详细信息”页面的​ 用于 ​部分中的链接现在会显示一个网格,该网格可显示按图像过滤的所有实体。 此外,还可正确设置和显示资源筛选器。 以前,应用程序未在​ 应用的过滤器 ​部分中显示资产标题。 Nazar Klovanych在拉取请求中提交的修复29367GitHub-1694
  • 当映像未被使用时,应用程序不再显示映像“详细信息”页面的​ 用于 ​部分。 Nazar Klovanych在拉取请求中提交的修复29367GitHub-1699
  • 现在可以使用图像详细信息​ 用于 ​部分上的资源筛选器按预期检查Assets。 Nazar Klovanych在拉取请求中提交的修复29367GitHub-1704
  • 有关不同实体(例如,pagecategory)使用的图像的信息现在已在图像详细信息页面中列出并已更正。 Nazar Klovanych在拉取请求中提交的修复29367GitHub-1747
  • 禁用媒体库后,当商家尝试保存产品及其相关图像时,应用程序不再引发异常。 Nazar Klovanych在拉取请求中提交的修复29492GitHub-1750
  • 单击媒体库中图像的“用于”部分中的链接,现在会按预期打开按图像过滤的实体网格。 以前,图像标题不会显示在网格的已应用过滤器部分中。 Nazar Klovanych在拉取请求中提交的修复29429GitHub-1694
  • 现在,商家删除标记并保存图像详细信息后,应用程序将删除Adobe Stock图像的标记。 以前,在刷新页面之前不会删除标记。 Honeymay Louiese Ignacio在拉取请求中提交的修复29400GitHub-1703