Adobe Commerce 2.4.6安全修补程序的发行说明

Korrektur für CVE-2025-54236, um eine REST-API-Schwachstelle zu beheben. Adobe hat im September 2025 einen Hotfix für dieses Problem veröffentlicht. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Action required: Critical Security Update Available for Adobe Commerce (APSB2588)

Entwicklerinnen und Entwickler müssen die Validierung der Konstruktorparameter der REST-API überprüfen, um zu erfahren, wie Erweiterungen aktualisiert werden können, damit sie mit diesen Sicherheitsänderungen konform sind.

从TinyMCE迁移到Hugerte.org

由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容，Adobe Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源GreatRTE编辑器。

此迁移确保Adobe Commerce保持对开源许可的合规性，避免已知的TinyMCE 6漏洞，并为商家和开发人员提供现代且受支持的编辑体验。

已添加对Apache ActiveMQ Artemis STOMP协议的支持

通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统，为基于STOMP的集成提供了灵活性。 请参阅​ Commerce配置指南 ​中的Apache ActiveMQ Artemis。

MariaDB支持 — 添加了对MariaDB 10.11的支持。

API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

CMS阻止访问修复 — 解决具有受限权限（例如仅限促销访问）的管理员用户无法查看CMS Blocks列表页的问题。

以前，这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

Cookie限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为，并确保与Cookie限制交互的扩展或自定义设置的兼容性。

异步操作 — 用于覆盖先前客户订单的异步操作受限。

Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.

Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.

Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.

Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie ​ „KnowledgeBase-Artikel“

TinyMCE-: Die TinyMCE-Abhängigkeit wurde von Version 7 auf 6.8.5 heruntergestuft, um Probleme mit der Lizenzkompatibilität zu beheben.

Durch diese Änderung wird die kontinuierliche Konformität sichergestellt, während Adobe einen alternativen Open-Source-WYSIWYG-Editor evaluiert.

TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3​).

• TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt​

• Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-P10
  • 2.4.4-P11

Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).

• Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

  • 2.4.7-p3
  • 2.4.6-p8
  • 2.4.5-P10
  • 2.4.4-P11

Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:

• Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
• Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)

Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden ​ unter ​ > 2FA Konfigurationshandbuch.

Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".

Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.

Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“

Unterstützung für Subresource Integrity (SRI) wurde hinzugefügt um die PCI 4.0-Anforderungen für die Überprüfung der Skriptintegrität auf Zahlungsseiten zu erfüllen. Die Unterstützung von Subresource Integrity (SRI) bietet Integritäts-Hashes für alle JavaScript-Assets im lokalen Dateisystem. Die standardmäßige SRI-Funktion wird nur auf den Zahlungsseiten für die Bereiche Admin und Storefront implementiert. Händler können die Standardkonfiguration jedoch auf andere Seiten erweitern. Siehe Subresource-Integrität im Commerce PHP-Entwicklerhandbuch.

Änderungen an der Content Security Policy (CSP) - Konfigurationsaktualisierungen und -verbesserungen an den Adobe Commerce Content Security Policies (CSPs) zur Erfüllung der PCI 4.0-Anforderungen. Weitere Informationen finden Sie unter Inhaltssicherheitsrichtlinien im Commerce PHP-

• Die standardmäßige CSP-Konfiguration für Zahlungsseiten für Commerce Admin- und Storefront-Bereiche ist jetzt restrict. Für alle anderen Seiten ist die Standardkonfiguration report-only. In Versionen vor 2.4.7 wurde CSP für alle Seiten im report-only konfiguriert.

• Es wurde ein Nonce-Provider hinzugefügt, der die Ausführung von Inline-Skripten in einer CSP ermöglicht. Der Nonce-Anbieter erleichtert die Erstellung eindeutiger Nonce-Zeichenfolgen für jede Anfrage. Die Zeichenfolgen werden dann an den CSP-Header angehängt.

• Es wurden Optionen zum Konfigurieren von benutzerdefinierten URIs hinzugefügt, um CSP-Verletzungen für die Seite „Auftrag erstellen“ in der Admin- und die Checkout-Seite im Storefront zu melden. Sie können die Konfiguration über den Administrator oder durch Hinzufügen des URI zur config.xml-Datei hinzufügen.

  note
  NOTE
  Wenn Sie die CSP-Konfiguration auf den restrict-Modus aktualisieren, werden möglicherweise vorhandene Inline-Skripte auf Zahlungsseiten in der Admin- und Storefront blockiert, was beim Laden einer Seite den folgenden Browser-Fehler verursacht: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src. Beheben Sie diese Fehler, indem Sie die Konfiguration der Zulassungsliste aktualisieren, um die erforderlichen Skripte zuzulassen. Siehe Fehlerbehebung im Commerce PHP-.

更改未生成的缓存键的行为：

• 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 （未生成的缓存键是通过template指令语法或setCacheKey或setData方法设置的键。）
• 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。

自动生成的优惠券代码数量的限制。 Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的​ Code Quantity Limit ​配置选项(Stores > Settings:Configuration > Customers > Promotions)来控制此新限制。

清漆缓存7.3支持。 此版本与最新版本的Varnish Cache 7.3兼容。 兼容性保持与6.0.x和7.2.x版本，但Adobe建议仅将Adobe Commerce 2.4.6-p1与Varnish Cache版本7.3或版本6.0 LTS一起使用。

RabbitMQ 3.11支持。 此版本与最新版本的RabbitMQ 3.11兼容。 兼容性仍与RabbitMQ 3.9兼容，该版本在2023年8月之前受支持，但Adobe建议仅将Adobe Commerce 2.4.6-p1与RabbitMQ 3.11一起使用。

JavaScript库。 过时的JavaScript库已升级到最新的次要或修补程序版本，包括moment.js库(v2.29.4)、jQuery UI库(v1.13.2)和jQuery验证插件库(v1.19.5)。

nginx.sample文件无意中更新了更改，将fastcgi_pass的值从fastcgi_backend修改为php-fpm:9000。 可以安全地还原或忽略此更改。

在安装或将B2B扩展升级到1.4.0时，缺少B2B安全包的依赖项会导致以下安装错误。

Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

通过为带有稳定性标记的B2B安全包添加手动依赖关系，可以解决此问题。 有关详细信息，请参阅B2B发行说明。