文档Commerce发行信息

Adobe Commerce 2.4.7安全修补程序的发行说明

最近更新: 2026年5月12日

创建对象:

  • Experienced
  • Admin
  • Developer

Diese Sicherheits-Patch-Versionshinweise erfassen Aktualisierungen, um die Sicherheit Ihrer Adobe Commerce-Bereitstellung zu erhöhen. Die Informationen umfassen unter anderem Folgendes:

  • Fehlerbehebungen bei der Sicherheit
  • Sicherheits-Highlights, die weitere Details zu den im Sicherheits-Patch enthaltenen Verbesserungen und Aktualisierungen enthalten
  • Bekannte Probleme
  • Anweisungen zum Anwenden zusätzlicher Patches, falls erforderlich
  • Informationen zu allen in der Version enthaltenen Hotfixes

Weitere Informationen zu Sicherheits-Patch-Versionen:

IMPORTANT
MySQL 8.0将从2026年4月30日起终止支持(EOS)。
在此日期之后,Adobe Commerce 2.4.7将不再提供兼容性或>支持在MySQL 8.0之后发布的任何MySQL版本。 Adobe不会>在此Adobe上验证或提供对较新MySQL主要版本的支持>Commerce版本行。
运行版本2.4.7的所有Adobe Commerce内部部署客户都强烈支持>建议将其数据库服务器迁移到兼容的MariaDB版本。

2.4.7-p10

Adobe Commerce 2.4.7-p10安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-49

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

MariaDB 11.8兼容性

Adobe Commerce 2.4.7-p10引入了与MariaDB版本11.8的兼容性。 MariaDB 11.8引入了SQL行为的更改、默认值、弃用和性能优化。 此更新将主动解决潜在问题,以维护平台稳定性和未来就绪性。

OpenSearch 3最新的次要版本支持

Adobe Commerce 2.4.7现在支持云基础架构、Cloud Native和内部部署上的Adobe Commerce上最新的OpenSearch 3次要版本。 保持与OpenSearch 2的兼容性。

Valkey 8.1 LTS支持

Adobe Commerce 2.4.7现在与Valkey 8.1 LTS兼容,提供了一个长期支持的缓存后端选项,该选项在Adobe Commerce on cloud infrastructure上受支持。

RabbitMQ 4.2支持

Adobe Commerce 2.4.7现在与RabbitMQ 4.2兼容,后者将RabbitMQ 4.1支持终止日期安排在2026年2月。 与Apache ActiveMQ Artemis的兼容性得以保留,并且ActiveMQ仍然是此仅安全版本行的默认消息队列服务。

USPS REST API支持

除了旧版Web Tools API之外,USPS配送集成现在还支持现代化的RESTful USPS API。 管理员可以从管理员配置中选择要使用的USPS集成API。 此更新为USPS Web Tools API弃用做准备。

Magento拥有的Laminas MVC分支

为解决Laminas MVC停用问题,Adobe Commerce现在使用Magento拥有的laminas-mvc分支(发布为magento/magento-zf-mvc)。 此分支代码确保持续修补并长期符合Adobe Commerce 2.4.7的安全要求。

2.4.7 - p9

Adobe Commerce 2.4.7-p9安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-05

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

对DHL配送集成的MyDHL REST API支持

除了现有的DHL Express XML集成之外,DHL传送集成现在还支持MyDHL REST API。 此更新与DHL的当前API栈栈保持一致,并为弃用旧版XML API做准备。

添加与最新编辑器版本的兼容性

Adobe Commerce 2.4.7已更新,以支持编辑器2.9.x,同时保持与编辑器2.2 LTS兼容。

2.4.7-p8

Adobe Commerce 2.4.7-p8安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-94

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

此版本包括以下功能亮点:

  • Korrektur für CVE-2025-54236, um eine REST-API-Schwachstelle zu beheben. Adobe hat im September 2025 einen Hotfix für dieses Problem veröffentlicht. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Action required: Critical Security Update Available for Adobe Commerce (APSB2588)

  • Entwicklerinnen und Entwickler müssen die Validierung der Konstruktorparameter der REST-API überprüfen, um zu erfahren, wie Erweiterungen aktualisiert werden können, damit sie mit diesen Sicherheitsänderungen konform sind.

  • 从TinyMCE迁移到Hugerte.org

    由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容,Adobe Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源GreatRTE编辑器

    此迁移确保Adobe Commerce保持对开源许可的合规性,避免已知的TinyMCE 6漏洞,并为商家和开发人员提供现代且受支持的编辑体验。

  • 已添加对Apache ActiveMQ Artemis STOMP协议的支持

    通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统,为基于STOMP的集成提供了灵活性。 请参阅​ Commerce配置指南 ​中的Apache ActiveMQ Artemis

已知问题

签出页面无法加载static.min.js和mixins.min.js

在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

解决方法

  • 禁用JavaScript捆绑包;或
  • 如果您保持启用JavaScript捆绑包,请禁用JavaScript缩小。
IMPORTANT
请勿在生产环境中禁用CSP或删除SRI保护。 对于任何插件级别的旁路,都只能用作修补程序的最后手段,并且必须由安全团队审核。

修补程序

提供了修补程序。 请参阅知识库中的启用JS缩小和捆绑时,签出失败以了解修补程序详细信息。

2.4.7 - p7

Adobe Commerce 2.4.7-p7安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-71

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

2.4.7 - p6

Adobe Commerce 2.4.7-p6安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-50

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • MariaDB支持 — 添加了对MariaDB 10.11的支持。

  • API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

  • CMS阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。

    以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

  • Cookie限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。

  • 异步操作 — 用于覆盖先前客户订单的异步操作受限。

2.4.7 - p5

Adobe Commerce 2.4.7-p5安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-26

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

Das Tool System > Support > Data Collector Support wurde entfernt, um nicht autorisierten Zugriff zu verhindern und die Plattformsicherheit zu verbessern.

此版本还引入了对Adobe Commerce HIPAA就绪扩展的支持。

style
shade-box

已知问题

问题:在安装PHP 8.2或更高版本的2.4.7-p5时,系统会安装适用于2.4.8及更高版本的paypal/module-braintree版本4.7.0。 对于PHP 8.1,使用正确的Braintree版本4.6.1-p5。 此不匹配是由于对中间包中adobe-commerce/extensions-metapackage: ~2.0的依赖性松散所致。 这会影响PHP 8.2+部署的兼容性和支持的功能集。

此外,对于版本2.4.7-p3、2.4.7-p4和2.4.7-p5,可以安装Braintree扩展版本4.6.1-p5,而某些用户期望4.6.1-p3或p4,因为之前已经放松了更严格的依赖关系,允许在发布行中进行扩展升级。

解决方法:要确保您的PHP版本具有正确的Braintree版本,请运行composer update以安装adobe-commerce/extensions-metapackage:2.0.0依赖关系要求的相应版本。

2.4.7 - p4

Adobe Commerce 2.4.7-p4安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-08

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

Diese Version umfasst die folgenden Highlights:

  • Verwalten von Verschlüsselungsschlüsseln und erneutes Verschlüsseln von Daten - Neu konzipiertes Verwalten von Verschlüsselungsschlüsseln, um die Benutzerfreundlichkeit zu verbessern und frühere Einschränkungen und Fehler zu beseitigen.

    Neue CLI-Befehle sind jetzt für Ändern von Schlüsseln und Neuverschlüsseln bestimmter Systemkonfigurations-, Zahlungs- und benutzerdefinierter Felddaten verfügbar. Das Ändern von Schlüsseln in der Admin-Benutzeroberfläche wird in dieser Version nicht mehr unterstützt. Sie müssen die CLI-Befehle verwenden.

  • Behebung für CVE-2025-24434 - Behebt eine Autorisierungslücke.

    Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie ​ „KnowledgeBase-Artikel“

  • TinyMCE-: Die TinyMCE-Abhängigkeit wurde von Version 7 auf 6.8.5 heruntergestuft, um Probleme mit der Lizenzkompatibilität zu beheben.

    Durch diese Änderung wird die kontinuierliche Konformität sichergestellt, während Adobe einen alternativen Open-Source-WYSIWYG-Editor evaluiert.

2.4.7 - p3

Adobe Commerce 2.4.7-p3安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-73

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

Diese Version umfasst die folgenden Highlights:

  • TinyMCE-Upgrade - Der WYSIWYG-Editor) im Admin verwendet jetzt die neueste Version der TinyMCE-Abhängigkeit (7.3​).

    • TinyMCE 7.3 bietet ein verbessertes Benutzererlebnis, bessere Zusammenarbeit und erhöhte Effizienz. TinyMCE 5 wurde in der Release-Zeile 2.4.8 entfernt​

    • Da in TinyMCE 5.10 eine Sicherheitslücke (CVE-2024-38357) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11

  • Require.js-: Adobe Commerce verwendet jetzt die neueste Version von Require.js (2.3.7).

    • Da in Require.js 2.3.6 eine Sicherheitslücke (CVE-2024-38999) gemeldet wurde, wurde die Abhängigkeit auch für alle derzeit unterstützten Versionszeilen aktualisiert und in alle Sicherheits-Patches vom Oktober 2024 aufgenommen:

      • 2.4.7-p3
      • 2.4.6-p8
      • 2.4.5-P10
      • 2.4.4-P11
NOTE
Diese Aktualisierungen sind abwärtskompatibel und sollten sich nicht auf Anpassungen und Erweiterungen auswirken​

此版本中包含的修补程序

Diese Version enthält einen Hotfix, um ein Problem mit dem Braintree Payment Gateway zu beheben.

Das System enthält jetzt die erforderlichen Felder, um die Anforderungen des 3DS-VISA-Mandats zu erfüllen, wenn Braintree als Zahlungs-Gateway verwendet wird. Dadurch wird sichergestellt, dass alle Transaktionen den neuesten von VISA festgelegten Sicherheitsstandards entsprechen. Zuvor waren diese zusätzlichen Felder nicht in den übermittelten Zahlungsinformationen enthalten, was zur Nichteinhaltung der neuen VISA-Anforderungen hätte führen können.

2.4.7 - p2

Adobe Commerce 2.4.7-p2安全版本为2.4.7早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-61

高亮

Diese Version umfasst die folgenden Highlights:

  • Ratenbegrenzung fürone-time passwords - Die folgenden neuen Systemkonfigurationsoptionen sind jetzt verfügbar, um die Ratenbegrenzung für two-factor authentication (2FA) one-time password (OTP) zu aktivieren:

    • Limit für Wiederholungsversuche für Zwei-Faktor-Authentifizierung
    • Sperrzeit für Zwei-Faktor-Authentifizierung (Sekunden)

    Adobe empfiehlt, einen Schwellenwert für die 2FA-OTP-Validierung festzulegen, um die Anzahl der Wiederholungsversuche zu begrenzen und Brute-Force-Angriffe abzuschwächen. Weitere Informationen finden ​ unter ​ > 2FA Konfigurationshandbuch.

  • Rotation des Verschlüsselungsschlüssels - Ein neuer CLI-Befehl ist jetzt verfügbar, um den Verschlüsselungsschlüssel zu ändern. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Fehlerbehebung bei der Rotation von Verschlüsselungsschlüsseln: CVE-2024-34102".

  • Behebung für CVE-2020-27511 - Behebt eine Prototype.js Sicherheitslücke.

  • Behebung für CVE-2024-39397 - Löst eine Sicherheitslücke bei der Remote-Codeausführung. Diese Sicherheitslücke betrifft Händler, die den Apache-Webserver für lokale oder selbst gehostete Bereitstellungen verwenden. Diese Fehlerbehebung ist auch als isolierter Patch verfügbar. Weitere Informationen finden Sie ​ Knowledgebase-Artikel „Sicherheitsupdate für Adobe Commerce verfügbar - APSB-61“

此版本中包含的修补程序

Diese Version enthält die folgenden Hotfixes:

2.4.7 - p1

Adobe Commerce 2.4.7-p1安全版本修复了2.4.7早期版本中发现的漏洞。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB24-40

应用适用于CVE-2024-34102的修补程序

IMPORTANT
Dies ist eine dringende Aktualisierung unserer letzten Mitteilung zu CVE-2024-34102. Adobe ist sich bewusst, dass CVE-2024-34102 in der Wildnis in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgebeutet wurde. Ergreifen Sie sofort Maßnahmen, um die Sicherheitslücke zu schließen, falls Sie dies noch nicht getan haben.

Für Kunden, die den Sicherheits-Patch vom 11. Juni 2024 oder den isolierten Patch vom 28. Juni 2024 nicht angewendet haben:

Option 1:

  1. Wenden Sie eines der Sicherheits-Patches an, die am 11. Juni 2024 veröffentlicht wurden:

  2. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  3. Drehen Verschlüsselungsschlüssel.

Option 2:

  1. Aufkleben isolierten Pflasters.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits einen Sicherheits-Patch vom 11. Juni 2024 oder einen isolierten Patch vom 28. Juni 2024 angewendet haben:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

  2. Drehen Verschlüsselungsschlüssel.

Für Kunden, die bereits 1) einen Sicherheits-Patch vom 11. Juni 2024 oder 2) einen isolierten Patch vom 28. Juni 2024 angewendet haben, und 3) rotierten ihre Verschlüsselungsschlüssel:

  1. Wenden Sie den Hotfix an, der am 17. Juli 2024 veröffentlicht wurde.

高亮

此版本包括以下功能亮点:

  • 更新Google Authenticator的一次性密码(OTP)设置 — 需要此更新才能解决2.4.7中向后不兼容的更改导致的错误。 OTP Window​字段的描述现在提供了设置的准确说明,默认值已从1更改为29

  • B2B版本兼容性 — 要与Commerce版本2.4.7-p1兼容,具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1

此版本中包含的修补程序

Adobe Commerce 2.4.7-p1解决了从SOAP迁移到REST API的UPS集成过程中引入的问题。 此问题会影响从美国境外发运的客户,并阻止他们使用公制系统/SI测量值(即包装的公斤和厘米)来创建与UPS的发运。 有关详细信息,请参阅UPS配送方式集成从SOAP迁移到RESTful API知识库文章。

recommendation-more-help
commerce-operations-help-release