Adobe Commerce 2.4.7安全修补程序的发行说明

MariaDB支持 — 添加了对MariaDB 10.11的支持。

API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

CMS阻止访问修复 — 解决具有受限权限（例如仅限促销访问）的管理员用户无法查看CMS Blocks列表页的问题。

以前，这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

Cookie限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为，并确保与Cookie限制交互的扩展或自定义设置的兼容性。

异步操作 — 用于覆盖先前客户订单的异步操作受限。

管理加密密钥和重新加密数据 — 重新设计了管理加密密钥以提高可用性并消除以前的限制和错误。

新CLI命令现在可用于更改密钥和重新加密某些系统配置、付款和自定义字段数据。 此版本不再支持更改管理员UI中的键。 必须使用CLI命令。

修复CVE-2025-24434 — 解决授权漏洞。

此修复还作为独立修补程序提供。 有关详细信息，请参阅知识库文章。

TinyMCE版本降级 — 为了解决许可兼容性问题，TinyMCE依赖项已从版本7降级6.8.5。

在Adobe评估替代开源WYSIWYG编辑器时，此更改可确保持续的合规性。

TinyMCE升级 — 管理员中的WYSIWYG编辑器现在使用最新版本的TinyMCE依赖项(7.3​)。

• TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除​。

• 由于TinyMCE 5.10中报告了安全漏洞(CVE-2024-38357)，因此当前支持的所有发行行都已升级依赖关系，并且这些依赖关系已包含在所有的2024年10月安全修补程序中：

  • 2.4.7 - p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

Require.js升级—Adobe Commerce现在使用最新版本的Require.js (2.3.7)。

• 由于Require.js 2.3.6中报告了一个安全漏洞(CVE-2024-38999)，因此当前支持的所有版本行均已升级依赖关系，并且所有2024年10月安全修补程序中均包含该依赖关系：

  • 2.4.7 - p3
  • 2.4.6-p8
  • 2.4.5-p10
  • 2.4.4-p11

one-time passwords​的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制：

• 对双重身份验证进行​重试尝试限制
• 双重身份验证锁定时间（秒）

Adobe建议为2FA OTP验证设置阈值以限制重试尝试的次数，从而缓解暴力攻击。 有关详细信息，请参阅配置参考指南中的​安全性> 2FA。

加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息，请参阅Troubleshooting Encryption Key Rotation： CVE-2024-34102知识库文章。

修复CVE-2020-27511 — 解决了Prototype.js安全漏洞。

修复CVE-2024-39397 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息，请参阅Adobe Commerce可用的安全更新 — APSB24-61知识库文章。

用于解决导致Google映射无法在​ PageBuilder ​编辑器中正确呈现的JavaScript错误的修补程序。 有关详细信息，请参阅所有Adobe Commerce版本上的Google映射的修订修补程序访问丢失知识库文章。

修复了与CVE-2024-34102相关的JSON Web令牌(JWT)验证问题。 有关详细信息，请参阅Adobe Commerce-APSB24-40知识库文章中提供的安全更新。

更新Google Authenticator的一次性密码(OTP)设置 — 需要此更新才能解决2.4.7中向后不兼容的更改导致的错误。OTP Window​字段的描述现在提供了设置的准确解释，默认值已从1更改为29。

B2B版本兼容性 — 要与Commerce版本2.4.7-p1兼容，具有Adobe Commerce B2B扩展的商家必须升级到B2B版本1.4.2-p1。