Adobe Commerce 2.4.5安全修补程序的发行说明
Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:
- Fehlerbehebungen bei der Sicherheit
- Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
- Bekannte Probleme
- Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
- Informationen zu allen in der Version enthaltenen Hotfixes
Weitere Informationen zu Sicherheits-Patch-Versionen:
- Überblick über Adobe Commerce Security-Patch-Versionen
- Anweisungen zum Herunterladen und Anwenden von Sicherheits-Patch-Versionen finden Sie in der So rufen Sie Sicherheits-Patches ab und wenden in der Adobe Commerce Knowledgebase.
2.4.5-p17
Adobe Commerce 2.4.5-p17安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-49。
高亮
此版本包括以下功能亮点:
Valkey 8.1 LTS支持
Adobe Commerce 2.4.5现在与Valkey 8.1 LTS兼容,提供了一个长期支持的缓存后端选项,该选项在Adobe Commerce on cloud infrastructure上受支持。
RabbitMQ 4.2支持
Adobe Commerce 2.4.5现在与RabbitMQ 4.2兼容,后者将RabbitMQ 4.1支持终止日期安排在2026年2月。 与Apache ActiveMQ Artemis的兼容性得以保留,并且ActiveMQ仍然是此仅安全版本行的默认消息队列服务。
2.4.5-p16
Adobe Commerce 2.4.5-p16安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-05。
高亮
此版本包括以下功能亮点:
与Apache ActiveMQ Artemis的兼容性
由于与RabbitMQ 4相关的支持终止风险,Adobe Commerce已启动到Apache ActiveMQ Artemis的战略迁移,以确保其消息队列基础设施的长期稳定性和支持。
- Adobe Commerce 2.4.5现在支持最新版本的Apache ActiveMQ Artemis。
- 我们保留了与RabbitMQ 4.1的兼容性,以支持希望保留现有MQ服务的客户。
- Adobe Commerce Cloud现在完全支持ActiveMQ,包括适用于云原生部署的AWS ActiveMQ。
2.4.5-p16与MariaDB 10.11的兼容性
已验证Adobe Commerce 2.4.5-p16与MariaDB 10.11的兼容性,同时继续完全支持MariaDB 10.6。 当前运行2.4.5-px的商家可以安全地升级到2.4.5-p16,并从MariaDB 10.6过渡到MariaDB 10.11。
2.4.5-p15
Adobe Commerce 2.4.5-p15安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-94。
高亮
-
Korrektur für CVE-2025-54236, um eine REST-API-Schwachstelle zu beheben. Adobe hat im September 2025 einen Hotfix für dieses Problem veröffentlicht. Weitere Informationen finden Sie Knowledgebase-Artikel „Action required: Critical Security Update Available for Adobe Commerce (APSB2588)
-
Entwicklerinnen und Entwickler müssen die Validierung der Konstruktorparameter der REST-API überprüfen, um zu erfahren, wie Erweiterungen aktualisiert werden können, damit sie mit diesen Sicherheitsänderungen konform sind.
已知问题
签出页面无法加载static.min.js和mixins.min.js
在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
解决方法:
- 禁用JavaScript捆绑包;或
- 如果您保持启用JavaScript捆绑包,请禁用JavaScript缩小。
修补程序:
提供了修补程序。 请参阅知识库中的启用JS缩小和捆绑时,签出失败以了解修补程序详细信息。
2.4.5-p14
Adobe Commerce 2.4.5-p14安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-71。
2.4.5-p13
Adobe Commerce 2.4.5-p13安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-50。
高亮
此版本包括以下功能亮点:
-
API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。
-
CMS阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。
以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。
-
Cookie限制兼容性 — 解决涉及框架中
MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。 -
异步操作 — 用于覆盖先前客户订单的异步操作受限。
2.4.5-p12
Adobe Commerce 2.4.5-p12安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-26。
高亮
Das Tool System > Support > Data Collector Support wurde entfernt, um nicht autorisierten Zugriff zu verhindern und die Plattformsicherheit zu verbessern.
2.4.5-p11
Adobe Commerce 2.4.5-p11安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-08。
高亮
Diese Version umfasst die folgenden Highlights:
-
Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.
Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.
-
Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.
Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie „KnowledgeBase-Artikel“
-
TinyMCE-: Die TinyMCE-Abhängigkeit wurde von Version 7 auf 6.8.5 heruntergestuft, um Probleme mit der Lizenzkompatibilität zu beheben.
Durch diese Änderung wird die kontinuierliche Konformität sichergestellt, während Adobe einen alternativen Open-Source-WYSIWYG-Editor evaluiert.
2.4.5-p10
Adobe Commerce 2.4.5-p10安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73。
高亮
Diese Version umfasst die folgenden Highlights:
-
TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3).
-
TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt
-
Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
-
Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).
-
Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:
- 2.4.7-p3
- 2.4.6-p8
- 2.4.5-P10
- 2.4.4-P11
-
此版本中包含的修补程序
Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.
Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.
2.4.5-p9
Adobe Commerce 2.4.5-p9安全版本为2.4.5早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61。
高亮
Diese Version umfasst die folgenden Highlights:
-
Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:
- Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
- Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)
Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden unter > 2FA Konfigurationshandbuch.
-
Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".
-
Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.
-
Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“
此版本中包含的修补程序
Diese Version enthält die folgenden Hotfixes:
- Hotfix zur Behebung eines JavaScript-Fehlers, der verhinderte, dass Google Maps im PageBuilder-Editor ordnungsgemäß gerendert wurden. Weitere Informationen finden Sie Artikel „Überarbeitete Patches für Google Maps - Zugriffsverlust auf alle Adobe CommerceVersionen“ in der Wissensdatenbank.
- Hotfix zum Beheben eines JSON Web Token (JWT)-Validierungsproblems im Zusammenhang mit CVE-2024-34102. Einzelheiten finden Sie im Sicherheits-Update verfügbar für Adobe Commerce-APSB2440) in der Wissensdatenbank.
2.4.5-p8
Adobe Commerce 2.4.5-p8安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40。
应用适用于CVE-2024-34102的修补程序
Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:
Option 1:
Option 2:
-
Aufkleben isolierten Pflasters.
-
Drehen Verschlüsselungsschlüssel.
Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:
Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:
- Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.
平台升级
- MariaDB 10.5支持。 此补丁发行版本引入了与MariaDB版本10.5的兼容性。 Adobe Commerce仍与MariaDB版本10.4兼容,但Adobe建议仅在MariaDB版本10.5中使用Adobe Commerce 2.4.5-p8以及所有即将发布的仅用于安全性的2.4.5修补程序版本,因为MariaDB 10.4维护将于2024年6月18日结束。
高亮
-
Unterstützung für Subresource Integrity (SRI) wurde hinzugefügt um die PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integritäts-Hashes für alle JavaScript-Assets im lokalen Dateisystem. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Bereiche Admin und Storefront implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource-Integrität im Commerce PHP-Entwicklerhandbuch.
-
Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen an den Adobe Commerce Content Security Policies (CSPs) zur Erfüllung der PCI 4.0-Anforderungen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP-
-
Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce Admin- und Storefront-Bereiche ist jetzt
restrict. Für alle anderen Seiten ist die Standardkonfigurationreport-only. In Versionen vor 2.4.7 wurde CSP für alle Seiten imreport-onlykonfiguriert. -
Es wurde ein Nonce-Provider hinzugefügt, der die Ausführung von Inline-Skripten in einer CSP ermöglicht. Der Nonce-Anbieter erleichtert die Erstellung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an den CSP-Header angehängt.
-
Es wurden Optionen zum Konfigurieren von benutzerdefinierten URIs hinzugefügt, um CSP-Verletzungen für die Seite „Auftrag erstellen“ in der Admin- und die Checkout-Seite im Storefront zu melden. Sie können die Konfiguration über den Administrator oder durch Hinzufügen des URI zur
config.xml-Datei hinzufügen.note NOTE Wenn Sie die CSP-Konfiguration auf den restrict-Modus aktualisieren, werden möglicherweise vorhandene Inline-Skripte auf Zahlungsseiten in der Admin- und Storefront blockiert, was beim Laden einer Seite den folgenden Browser-Fehler verursacht:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Beheben Sie diese Fehler, indem Sie die Konfiguration der Zulassungsliste aktualisieren, um die erforderlichen Skripte zuzulassen. Siehe Fehlerbehebung im Commerce PHP-.
-
2.4.5-p7
Adobe Commerce 2.4.5-p7安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-18。
2.4.5-p6
Adobe Commerce 2.4.5-p6安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-03。
高亮
此版本引入了两项重要的安全增强功能:
-
更改未生成的缓存键的行为:
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
setCacheKey或setData方法设置的键。) - 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
-
自动生成的优惠券代码数量的限制。 Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的 Code Quantity Limit 配置选项(Stores > Settings:Configuration > Customers > Promotions)来控制此新限制。
2.4.5-p5
Adobe Commerce 2.4.5-p5安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-50。
高亮
此版本引入了新的全页缓存配置设置,可帮助减轻与{BASE-URL}/page_cache/block/esi HTTP端点相关的风险。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新的 Handles Param 配置设置设置此端点的handles参数的值,该值确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings:Configuration > System > Full Page Cache > Handles Param)更改此值。
已知问题
问题: Adobe Commerce在Composer从repo.magento.com下载期间显示 错误校验和 错误,包下载被中断。 在下载预发行期间提供的发行版包时,可能会出现此问题,这是由于重新打包magento/module-page-cache包导致的。
解决方法:在下载过程中看到此错误的商家可以采取以下步骤:
- 删除项目中的
/vendor目录(如果存在)。 - 运行
bin/magento composer update magento/module-page-cache命令。 此命令仅更新page cache包。
如果校验和问题仍然存在,请先删除composer.lock文件,然后再重新运行bin/magento composer update命令以更新每个包。
2.4.5-p4
Adobe Commerce 2.4.5-p4安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-42。
应用适用于CVE-2022-31160的修补程序
jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。 运行受影响部署的商户应应用针对2.4.4、2.4.5和2.4.6版本🔗知识库文章的jQuery UI安全漏洞CVE-2022-31160修复中指定的修补程序。
2.4.5-p3
Adobe Commerce 2.4.5-p3安全版本为以前版本的2.4.5中发现的漏洞提供了安全修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告。
应用适用于CVE-2022-31160的修补程序
jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。 运行受影响部署的商户应应用查询UI安全漏洞CVE-2022-31160针对2.4.4、2.4.5和2.4.6版本知识库文章中指定的修补程序。
高亮
isEmailAvailable GraphQL查询和(V1/customers/isEmailAvailable) REST端点的默认行为已更改。 默认情况下,API现在始终返回true。 商家可以启用原始行为,如果数据库中不存在电子邮件,则返回true;如果存在,则返回false。
平台升级
此版本的平台升级可改善对最新安全最佳实践的合规性。
-
清漆缓存7.3支持。 此版本与最新版本的Varnish Cache 7.3兼容。 与6.0.x和7.2.x版本的兼容性保持不变,但我们建议仅将Adobe Commerce 2.4.5-p3与Varnish Cache版本7.3或版本6.0 LTS一起使用。
-
RabbitMQ 3.11支持。 此版本与最新版本的RabbitMQ 3.11兼容。 与RabbitMQ 3.9的兼容性仍然存在,该版本在2023年8月之前受支持,但我们建议仅将Adobe Commerce 2.4.5-p3与RabbitMQ 3.11一起使用。
-
JavaScript库。 过时的JavaScript库已升级到最新的次要或修补程序版本,包括
moment.js库(v2.29.4)、jQuery UI库(v1.13.2)和jQuery验证插件库(v1.19.5)。
2.4.5 - p2
Adobe Commerce 2.4.5-p2安全版本为以前版本的2.4.5中发现的漏洞提供了三个安全修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-17。
2.4.5-p1
Adobe Commerce 2.4.5-p1安全版本为以前版本的2.4.5中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB22-48。
其中一项安全错误修复包括创建新的配置设置。 如果电子邮件已更改,需要电子邮件确认配置设置允许管理员用户在更改其电子邮件地址时要求电子邮件确认。