文档Commerce发行信息

Adobe Commerce 2.4.7安全修补程序的发行说明

最近更新: 2026年5月19日

创建对象:

  • Experienced
  • Admin
  • Developer

这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

IMPORTANT
MySQL 8.0将从2026年4月30日起终止支持(EOS)。
在此日期之后,Adobe Commerce 2.4.7将不再提供兼容性或>支持在MySQL 8.0之后发布的任何MySQL版本。 Adobe不会>在此Adobe上验证或提供对较新MySQL主要版本的支持>Commerce版本行。
运行版本2.4.7的所有Adobe Commerce内部部署客户都强烈支持>建议将其数据库服务器迁移到兼容的MariaDB版本。

2.4.7-p10

Adobe Commerce 2.4.7-p10安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-49

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

MariaDB 11.8兼容性

Adobe Commerce 2.4.7-p10引入了与MariaDB版本11.8的兼容性。 MariaDB 11.8引入了SQL行为的更改、默认值、弃用和性能优化。 此更新将主动解决潜在问题,以维护平台稳定性和未来就绪性。

OpenSearch 3最新的次要版本支持

Adobe Commerce 2.4.7现在支持云基础架构、Cloud Native和内部部署上的Adobe Commerce上最新的OpenSearch 3次要版本。 保持与OpenSearch 2的兼容性。

Valkey 8.1 LTS支持

Adobe Commerce 2.4.7现在与Valkey 8.1 LTS兼容,提供了一个长期支持的缓存后端选项,该选项在Adobe Commerce on cloud infrastructure上受支持。

RabbitMQ 4.2支持

Adobe Commerce 2.4.7现在与RabbitMQ 4.2兼容,后者将RabbitMQ 4.1支持终止日期安排在2026年2月。 与Apache ActiveMQ Artemis的兼容性得以保留,并且ActiveMQ仍然是此仅安全版本行的默认消息队列服务。

USPS REST API支持

除了旧版Web Tools API之外,USPS配送集成现在还支持现代化的RESTful USPS API。 管理员可以从管理员配置中选择要使用的USPS集成API。 此更新为USPS Web Tools API弃用做准备。

Magento拥有的Laminas MVC分支

为解决Laminas MVC停用问题,Adobe Commerce现在使用Magento拥有的laminas-mvc分支(发布为magento/magento-zf-mvc)。 此分支代码确保持续修补并长期符合Adobe Commerce 2.4.7的安全要求。

2.4.7 - p9

Adobe Commerce 2.4.7-p9安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-05

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

对DHL配送集成的MyDHL REST API支持

除了现有的DHL Express XML集成之外,DHL传送集成现在还支持MyDHL REST API。 此更新与DHL的当前API栈栈保持一致,并为弃用旧版XML API做准备。

添加与最新编辑器版本的兼容性

Adobe Commerce 2.4.7已更新,以支持编辑器2.9.x,同时保持与编辑器2.2 LTS兼容。

2.4.7-p8

Adobe Commerce 2.4.7-p8安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-94

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

此版本包括以下功能亮点:

  • 修复了CVE-2025-54236以解决REST API漏洞。 Adobe于2025年9月发布了针对此问题的修补程序。 有关详细信息,请参阅所需操作:可用于Adobe Commerce的关键安全更新(APSB25-88)知识库文章。

  • 开发人员必须审查REST API构造函数参数验证,以了解如何更新扩展以符合这些安全更改。

  • 从TinyMCE迁移到Hugerte.org

    由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容,Adobe Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源GreatRTE编辑器

    此迁移确保Adobe Commerce保持对开源许可的合规性,避免已知的TinyMCE 6漏洞,并为商家和开发人员提供现代且受支持的编辑体验。

  • 已添加对Apache ActiveMQ Artemis STOMP协议的支持

    通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统,为基于STOMP的集成提供了灵活性。 请参阅​ Commerce配置指南 ​中的Apache ActiveMQ Artemis

已知问题

签出页面无法加载static.min.js和mixins.min.js

在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

解决方法

  • 禁用JavaScript捆绑包;或
  • 如果您保持启用JavaScript捆绑包,请禁用JavaScript缩小。
IMPORTANT
请勿在生产环境中禁用CSP或删除SRI保护。 对于任何插件级别的旁路,都只能用作修补程序的最后手段,并且必须由安全团队审核。

修补程序

提供了修补程序。 请参阅知识库中的启用JS缩小和捆绑时,签出失败以了解修补程序详细信息。

2.4.7 - p7

Adobe Commerce 2.4.7-p7安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-71

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

2.4.7 - p6

Adobe Commerce 2.4.7-p6安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-50

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • MariaDB支持 — 添加了对MariaDB 10.11的支持。

  • API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

  • CMS阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。

    以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

  • Cookie限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。

  • 异步操作 — 用于覆盖先前客户订单的异步操作受限。

2.4.7 - p5

Adobe Commerce 2.4.7-p5安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-26

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

System > Support > Data Collector​支持工具已被删除,以防止未经授权的访问并增强平台安全性。

此版本还引入了对Adobe Commerce HIPAA就绪扩展的支持。

style
shade-box

已知问题

问题:在安装PHP 8.2或更高版本的2.4.7-p5时,系统会安装适用于2.4.8及更高版本的paypal/module-braintree版本4.7.0。 对于PHP 8.1,使用正确的Braintree版本4.6.1-p5。 此不匹配是由于对中间包中adobe-commerce/extensions-metapackage: ~2.0的依赖性松散所致。 这会影响PHP 8.2+部署的兼容性和支持的功能集。

此外,对于版本2.4.7-p3、2.4.7-p4和2.4.7-p5,可以安装Braintree扩展版本4.6.1-p5,而某些用户期望4.6.1-p3或p4,因为之前已经放松了更严格的依赖关系,允许在发布行中进行扩展升级。

解决方法:要确保您的PHP版本具有正确的Braintree版本,请运行composer update以安装adobe-commerce/extensions-metapackage:2.0.0依赖关系要求的相应版本。

2.4.7 - p4

Adobe Commerce 2.4.7-p4安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-08

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • 管理加密密钥和重新加密数据 — 重新设计了管理加密密钥以提高可用性并消除以前的限制和错误。

    新CLI命令现在可用于更改密钥和重新加密某些系统配置、付款和自定义字段数据。 此版本不再支持更改管理员UI中的键。 必须使用CLI命令。

  • 修复CVE-2025-24434 — 解决授权漏洞。

    此修复还作为独立修补程序提供。 有关详细信息,请参阅知识库文章

  • TinyMCE版本降级 — 为了解决许可兼容性问题,TinyMCE依赖项已从版本7降级6.8.5。

    在Adobe评估替代开源WYSIWYG编辑器时,此更改可确保持续的合规性。

2.4.7 - p3

Adobe Commerce 2.4.7-p3安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • TinyMCE升级 — 管理员中的WYSIWYG编辑器现在使用最新版本的TinyMCE依赖项(7.3​)。

    • TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除​。

    • 由于TinyMCE 5.10中报告了安全漏洞(CVE-2024-38357),因此当前支持的所有发行行都已升级依赖关系,并且这些依赖关系已包含在所有的2024年10月安全修补程序中:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升级—Adobe Commerce现在使用最新版本的Require.js (2.3.7)。

    • 由于Require.js 2.3.6中报告了一个安全漏洞(CVE-2024-38999),因此当前支持的所有版本行均已升级依赖关系,并且所有2024年10月安全修补程序中均包含该依赖关系:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
这些更新向后兼容,并且不会影响自定义项和扩展​。

此版本中包含的修补程序

此版本包含用于解决Braintree支付网关问题的修补程序。

在使用Braintree作为支付网关时,该系统现在包括满足3DS VISA要求所需的字段。 这可确保所有交易都符合VISA设置的最新安全标准。 以前,这些附加字段未包含在发送的支付信息中,这可能导致不遵守新的VISA要求。

2.4.7 - p2

Adobe Commerce 2.4.7-p2安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61

高亮

此版本包括以下功能亮点:

  • one-time passwords​的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制:

    • 对双重身份验证进行​重试尝试限制
    • 双重身份验证锁定时间(秒)

    Adobe建议为2FA OTP验证设置阈值以限制重试尝试的次数,从而缓解暴力攻击。 有关详细信息,请参阅配置参考指南中的​安全性> 2FA

  • 加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息,请参阅Troubleshooting Encryption Key Rotation: CVE-2024-34102知识库文章。

  • 修复CVE-2020-27511 — 解决了Prototype.js安全漏洞。

  • 修复CVE-2024-39397 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息,请参阅Adobe Commerce可用的安全更新 — APSB24-61知识库文章。

此版本中包含的修补程序

此版本包含以下修补程序:

  • 修复了与CVE-2024-34102相关的JSON Web令牌(JWT)验证问题。 有关详细信息,请参阅Adobe Commerce-APSB24-40知识库文章中提供的安全更新。

2.4.7 - p1

Adobe Commerce 2.4.7-p1安全版本修复了2.4.7早期版本中发现的漏洞。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40

应用适用于CVE-2024-34102的修补程序

IMPORTANT
这是有关CVE-2024-34102的上次通信的紧急更新。 Adobe知道,CVE-2024-34102在针对Adobe Commerce商人的非常有限的攻击中被利用。 立即采取措施解决此漏洞(如果尚未这样做)。

对于尚未应用2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

选项1:

  1. 应用2024年6月11日发布的其中一个安全修补程序:

  2. 应用2024年7月17日发布的修补程序

  3. 旋转加密密钥。

选项2:

  1. 应用隔离的修补程序

  2. 旋转加密密钥。

对于已经应用了2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

  1. 应用2024年7月17日发布的修补程序

  2. 旋转加密密钥。

对于已经应用了1)2024年6月11日发布的安全补丁程序的客户,或2)2024年6月28日发布的独立补丁程序的客户,以及3)轮换其加密密钥的客户:

  1. 应用2024年7月17日发布的修补程序

高亮

此版本包括以下功能亮点:

  • 更新Google Authenticator的一次性密码(OTP)设置 — 需要此更新才能解决2.4.7中向后不兼容的更改导致的错误。 OTP Window​字段的描述现在提供了设置的准确说明,默认值已从1更改为29

  • B2B版本兼容性 — 要与Commerce版本2.4.7-p1兼容,具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1

此版本中包含的修补程序

Adobe Commerce 2.4.7-p1解决了从SOAP迁移到REST API的UPS集成过程中引入的问题。 此问题会影响从美国境外发运的客户,并阻止他们使用公制系统/SI测量值(即包装的公斤和厘米)来创建与UPS的发运。 有关详细信息,请参阅UPS配送方式集成从SOAP迁移到RESTful API知识库文章。

recommendation-more-help
commerce-operations-help-release