Adobe Commerce 2.4.6安全修补程序的发行说明
这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:
- 安全错误修复
- 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
- 已知问题
- 根据需要应用其他修补程序的说明
- 有关发行版中包含的任何修补程序的信息
了解有关安全修补程序版本的更多信息:
- Adobe Commerce安全修补程序版本概述
- 有关下载和应用安全修补程序版本的说明,请参见 Adobe Commerce知识库 中的如何获取和应用安全修补程序。
2.4.6-p15
Adobe Commerce 2.4.6-p15安全版本为2.4.6以前版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-49。
高亮
此版本包括以下功能亮点:
OpenSearch 3最新的次要版本支持
Adobe Commerce 2.4.6现在支持云基础架构、Cloud Native和内部部署上的Adobe Commerce上最新的OpenSearch 3次要版本。 保持与OpenSearch 2的兼容性。
Valkey 8.1 LTS支持
Adobe Commerce 2.4.6现在与Valkey 8.1 LTS兼容,提供了一个长期支持的缓存后端选项,该选项在Adobe Commerce on cloud infrastructure上受支持。
RabbitMQ 4.2支持
Adobe Commerce 2.4.6现在与RabbitMQ 4.2兼容,后者将RabbitMQ 4.1支持终止日期安排在2026年2月。 与Apache ActiveMQ Artemis的兼容性得以保留,并且ActiveMQ仍然是此仅安全版本行的默认消息队列服务。
USPS REST API支持
除了旧版Web Tools API之外,USPS配送集成现在还支持现代化的RESTful USPS API。 管理员可以从管理员配置中选择要使用的USPS集成API。 此更新为USPS Web Tools API弃用做准备。
Magento拥有的Laminas MVC分支
为解决Laminas MVC停用问题,Adobe Commerce现在使用Magento拥有的laminas-mvc分支(发布为magento/magento-zf-mvc)。 此分支代码确保持续修补并长期符合Adobe Commerce 2.4.6的安全要求。
2.4.6-p14
Adobe Commerce 2.4.6-p14安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-05。
高亮
此版本包括以下功能亮点:
支持对2.4.7版本的修复程序进行补丁补丁补丁补丁补丁补丁的PHPUnit升级
已验证Adobe Commerce 2.4.6可与安全PHPUnit版本所需的sebastian/comparator库的较新版本一起运行。 作为此审查的一部分,Adobe评估了以前限制升级到打补丁的PHPUnit版本的依赖项约束。
客户现在可以通过调整其Composer要求(例如,设置要求sebastian/comparator:^4.0)安全地将PHPUnit更新为安全版本。 此更新不影响Adobe Commerce 2.4.6功能或预期行为。
对DHL配送集成的MyDHL REST API支持
除了现有的DHL Express XML集成之外,DHL传送集成现在还支持MyDHL REST API。 此更新与DHL的当前API栈栈保持一致,并为弃用旧版XML API做准备。
2.4.6-p13
Adobe Commerce 2.4.6-p13安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-94。
高亮
此版本包括以下功能亮点:
-
修复了CVE-2025-54236以解决REST API漏洞。 Adobe于2025年9月发布了针对此问题的修补程序。 有关详细信息,请参阅所需操作:可用于Adobe Commerce的关键安全更新(APSB25-88)知识库文章。
-
开发人员必须审查REST API构造函数参数验证,以了解如何更新扩展以符合这些安全更改。
-
从TinyMCE迁移到Hugerte.org
由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容,Adobe Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源GreatRTE编辑器。
此迁移确保Adobe Commerce保持对开源许可的合规性,避免已知的TinyMCE 6漏洞,并为商家和开发人员提供现代且受支持的编辑体验。
-
已添加对Apache ActiveMQ Artemis STOMP协议的支持
通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统,为基于STOMP的集成提供了灵活性。 请参阅 Commerce配置指南 中的Apache ActiveMQ Artemis。
已知问题
清单编辑器安装程序包缺失
此版本不包括magento/inventory-composer-installer包,如果要从更改不向后兼容的较旧次要版本顺利升级,必须使用该包。
如果从2.3升级到2.4.6-p13,请在升级之前运行以下命令以安装magento/inventory-composer-installer包:
composer require magento/inventory-composer-installer
签出页面无法加载static.min.js和mixins.min.js
在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
解决方法:
- 禁用JavaScript捆绑包;或
- 如果您保持启用JavaScript捆绑包,请禁用JavaScript缩小。
修补程序:
提供了修补程序。 请参阅知识库中的启用JS缩小和捆绑时,签出失败以了解修补程序详细信息。
2.4.6-p12
Adobe Commerce 2.4.6-p12安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-71。
2.4.6-p11
Adobe Commerce 2.4.6-p11安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-50。
高亮
此版本包括以下功能亮点:
-
MariaDB支持 — 添加了对MariaDB 10.11的支持。
-
API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。
-
CMS阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。
以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。
-
Cookie限制兼容性 — 解决涉及框架中
MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。 -
异步操作 — 用于覆盖先前客户订单的异步操作受限。
2.4.6-p10
Adobe Commerce 2.4.6-p10安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-26。
高亮
System > Support > Data Collector支持工具已被删除,以防止未经授权的访问并增强平台安全性。
2.4.6-p9
Adobe Commerce 2.4.6-p9安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-08。
高亮
此版本包括以下功能亮点:
-
管理加密密钥和重新加密数据 — 重新设计了管理加密密钥以提高可用性并消除以前的限制和错误。
新CLI命令现在可用于更改密钥和重新加密某些系统配置、付款和自定义字段数据。 此版本不再支持更改管理员UI中的键。 必须使用CLI命令。
-
修复CVE-2025-24434 — 解决授权漏洞。
此修复还作为独立修补程序提供。 有关详细信息,请参阅知识库文章。
-
TinyMCE版本降级 — 为了解决许可兼容性问题,TinyMCE依赖项已从版本7降级6.8.5。
在Adobe评估替代开源WYSIWYG编辑器时,此更改可确保持续的合规性。
2.4.6-p8
Adobe Commerce 2.4.6-p8安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73。
高亮
此版本包括以下功能亮点:
-
TinyMCE升级 — 管理员中的WYSIWYG编辑器现在使用最新版本的TinyMCE依赖项(7.3)。
-
TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除。
-
由于TinyMCE 5.10中报告了安全漏洞(CVE-2024-38357),因此当前支持的所有发行行都已升级依赖关系,并且这些依赖关系已包含在所有的2024年10月安全修补程序中:
- 2.4.7 - p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js升级—Adobe Commerce现在使用最新版本的Require.js (2.3.7)。
-
由于Require.js 2.3.6中报告了一个安全漏洞(CVE-2024-38999),因此当前支持的所有版本行均已升级依赖关系,并且所有2024年10月安全修补程序中均包含该依赖关系:
- 2.4.7 - p3
- 2.4.6-p8
- 2.4.5-p10
- 2.4.4-p11
-
此版本中包含的修补程序
此版本包含用于解决Braintree支付网关问题的修补程序。
在使用Braintree作为支付网关时,该系统现在包括满足3DS VISA要求所需的字段。 这可确保所有交易都符合VISA设置的最新安全标准。 以前,这些附加字段未包含在发送的支付信息中,这可能导致不遵守新的VISA要求。
2.4.6-p7
Adobe Commerce 2.4.6-p7安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61。
高亮
此版本包括以下功能亮点:
-
one-time passwords的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制:
- 对双重身份验证进行重试尝试限制
- 双重身份验证锁定时间(秒)
Adobe建议为2FA OTP验证设置阈值以限制重试尝试的次数,从而缓解暴力攻击。 有关详细信息,请参阅配置参考指南中的安全性> 2FA。
-
加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息,请参阅Troubleshooting Encryption Key Rotation: CVE-2024-34102知识库文章。
-
修复CVE-2020-27511 — 解决了Prototype.js安全漏洞。
-
修复CVE-2024-39397 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息,请参阅Adobe Commerce可用的安全更新 — APSB24-61知识库文章。
此版本中包含的修补程序
此版本包含以下修补程序:
- 用于解决导致Google映射无法在 PageBuilder 编辑器中正确呈现的JavaScript错误的修补程序。 有关详细信息,请参阅所有Adobe Commerce版本上的Google映射的修订修补程序访问丢失知识库文章。
- 修复了与CVE-2024-34102相关的JSON Web令牌(JWT)验证问题。 有关详细信息,请参阅Adobe Commerce-APSB24-40知识库文章中提供的安全更新。
2.4.6-p6
Adobe Commerce 2.4.6-p6安全版本为以前版本的2.4.6中发现的漏洞提供了安全错误修复。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40。
为了与Commerce版本2.4.6-p6兼容,具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1。
应用适用于CVE-2024-34102的修补程序
对于尚未应用2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:
选项1:
选项2:
对于已经应用了2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:
对于已经应用了1)2024年6月11日发布的安全补丁程序的客户,或2)2024年6月28日发布的独立补丁程序的客户,以及3)轮换其加密密钥的客户:
- 应用2024年7月17日发布的修补程序。
为了与Commerce版本2.4.6-p6兼容,具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1。
高亮
-
添加了Subresource Integrity (SRI)支持以符合PCI 4.0要求验证支付页面上的脚本完整性。 子资源完整性(SRI)支持为驻留在本地文件系统中的所有JavaScript资源提供完整性哈希。 默认SRI功能仅在管理员和店面区域的支付页面上实施。 但是,商家可以将默认配置扩展到其他页面。 请参阅Commerce PHP开发人员指南.中的子资源完整性
-
对内容安全策略(CSP)的更改 — 对Adobe Commerce内容安全策略(CSP)的配置更新和增强以符合PCI 4.0要求。 有关详细信息,请参阅Commerce PHP Developer Guide中的内容安全策略。
-
Commerce管理员和店面区域的付款页面的默认CSP配置现在为
restrict模式。 对于所有其他页面,默认配置为report-only模式。 在低于2.4.7的版本中,CSP在所有页面中均配置为report-only模式。 -
添加了一个nonce提供程序,以允许在CSP中执行内联脚本。 nonce提供程序有助于为每个请求生成唯一的nonce字符串。 随后,这些字符串将附加到CSP标头。
-
添加了用于配置自定义URI以报告“管理员”中“创建订单”页面和“店面”中“结帐”页面的CSP违规的选项。 您可以从管理员添加配置,或通过将URI添加到
config.xml文件来添加。note NOTE 将CSP配置更新为 restrict模式可能会阻止管理员和店面中付款页面上现有的内联脚本,这会导致页面加载时出现以下浏览器错误:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 通过更新白名单配置以允许所需的脚本修复这些错误。 请参阅Commerce PHP开发人员指南中的_疑难解答_。
-
2.4.6 - p5
Adobe Commerce 2.4.6-p5安全版本为以前版本的2.4.6中发现的漏洞提供了安全错误修复。
有关这些修复的最新信息,请参阅Adobe安全公告APSB24-18。
2.4.6-p4
Adobe Commerce 2.4.6-p4安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-03。
高亮
此版本引入了两项重要的安全增强功能:
-
更改未生成的缓存键的行为:
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
setCacheKey或setData方法设置的键。) - 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(_)。
- 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或
-
自动生成的优惠券代码数量的限制。 Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的 Code Quantity Limit 配置选项(Stores > Settings:Configuration > Customers > Promotions)来控制此新限制。
2.4.6-p3
Adobe Commerce 2.4.6-p3安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。
有关安全修复的最新信息,请参阅Adobe安全公告APSB23-50。
高亮
此版本引入了新的全页缓存配置设置,可帮助减轻与{BASE-URL}/page_cache/block/esi HTTP端点相关的风险。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新的 Handles Param 配置设置设置此端点的handles参数的值,该值确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings:Configuration > System > Full Page Cache > Handles Param更改此值。
此版本中包含的修补程序
Adobe Commerce 2.4.6-p3包含修补程序ACSD-51892修复的性能降级问题的解决方法。 此修补程序解决的问题不会影响商家,此问题在ACSD-51892:配置文件加载多次的性能问题知识库文章中有所描述。
已知问题
问题: Adobe Commerce在Composer从repo.magento.com下载期间显示wrong checksum错误,包下载中断。 在下载预发行期间提供的发行包时可能会出现此问题,这是由于重新打包magento/module-page-cache包导致的。
解决方法:在下载过程中看到此错误的商家可以采取以下步骤:
- 删除项目中的
/vendor目录(如果存在)。 - 运行
bin/magento composer update magento/module-page-cache命令。 此命令仅更新page cache包。
如果校验和问题仍然存在,请先删除composer.lock文件,然后再重新运行bin/magento composer update命令以更新每个包。
2.4.6 - p2
Adobe Commerce 2.4.6-p2安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还提供了安全增强功能,以改进对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-42。
应用适用于CVE-2022-31160的修补程序
jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。 运行受影响部署的商户应应用针对2.4.4、2.4.5和2.4.6版本🔗知识库文章的jQuery UI安全漏洞CVE-2022-31160修复中指定的修补程序。
高亮
nginx.sample文件中的fastcgi_pass值已返回至其上一个(早于2.4.6-p1)值fastcgi_backend。 在Adobe Commerce 2.4.6-p1中,此值无意中更改为php-fpm:9000。
此版本中包含的修补程序
Adobe Commerce 2.4.6-p2包括对ACSD-51892补丁所解决的性能下降问题的解决方法。 此修补程序解决的问题不会影响商家,此问题在ACSD-51892:配置文件加载多次的性能问题知识库文章中有所描述。
2.4.6-p1
Adobe Commerce 2.4.6-p1安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强和平台升级,以改进对最新安全最佳实践的合规性。
有关安全错误修复的最新信息,请参阅Adobe安全公告APSB23-35。
应用适用于CVE-2022-31160的修补程序
jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响Adobe Commerce和Magento Open Source的多个版本。 此库依赖于Adobe Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。 运行受影响部署的商户应应用查询UI安全漏洞CVE-2022-31160针对2.4.4、2.4.5和2.4.6版本知识库文章中指定的修补程序。
突出显示
isEmailAvailable GraphQL查询和(V1/customers/isEmailAvailable) REST端点的默认行为已更改。 默认情况下,API现在始终返回true。 商家可以启用原始行为,如果数据库中不存在电子邮件,则返回true;如果存在,则返回false。
平台升级
此版本的平台升级可改善对最新安全最佳实践的合规性。
-
清漆缓存7.3支持。 此版本与最新版本的Varnish Cache 7.3兼容。 兼容性保持与6.0.x和7.2.x版本,但Adobe建议仅将Adobe Commerce 2.4.6-p1与Varnish Cache版本7.3或版本6.0 LTS一起使用。
-
RabbitMQ 3.11支持。 此版本与最新版本的RabbitMQ 3.11兼容。 兼容性仍与RabbitMQ 3.9兼容,该版本在2023年8月之前受支持,但Adobe建议仅将Adobe Commerce 2.4.6-p1与RabbitMQ 3.11一起使用。
-
JavaScript库。 过时的JavaScript库已升级到最新的次要或修补程序版本,包括
moment.js库(v2.29.4)、jQuery UI库(v1.13.2)和jQuery验证插件库(v1.19.5)。
已知问题
-
nginx.sample文件无意中更新了更改,将fastcgi_pass的值从fastcgi_backend修改为php-fpm:9000。 可以安全地还原或忽略此更改。 -
在安装或将B2B扩展升级到1.4.0时,缺少B2B安全包的依赖项会导致以下安装错误。
code language-shell Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.