文档Commerce发行信息

Adobe Commerce 2.4.8安全修补程序的发行说明

最近更新: 2026年5月19日

创建对象:

  • Experienced
  • Admin
  • Developer

这些安全修补程序发行说明会捕获更新,以增强Adobe Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

2.4.8-p5

Adobe Commerce 2.4.8-p5安全版本为2.4.8以前版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-49

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

MariaDB 11.8兼容性

Adobe Commerce 2.4.8已经过与MariaDB 11.8的兼容性验证,同时保留对MariaDB 11.4的支持。 此更新解决MariaDB 11.8中引入的SQL行为更改、默认更新和弃用问题,以维护平台稳定性。

OpenSearch 3最新的次要版本支持

Adobe Commerce 2.4.8现在支持云基础架构、Cloud Native和内部部署上的Adobe Commerce上最新的OpenSearch 3次要版本。 保持与OpenSearch 2的兼容性。

Valkey 8.1 LTS支持

Adobe Commerce 2.4.8现在与Valkey 8.1 LTS兼容,提供了一个长期支持的缓存后端选项,该选项在Adobe Commerce on cloud infrastructure上受支持。

RabbitMQ 4.2支持

Adobe Commerce 2.4.8现在与RabbitMQ 4.2兼容,后者在RabbitMQ 4.1计划于2026年2月终止支持日期之前提供。 与Apache ActiveMQ Artemis的兼容性得以保留,并且ActiveMQ仍然是此仅安全版本行的默认消息队列服务。

USPS REST API支持

除了旧版Web Tools API之外,USPS配送集成现在还支持现代化的RESTful USPS API。 管理员可以从管理员配置中选择要使用的USPS集成API。 此更新为USPS Web Tools API弃用做准备。

Magento拥有的Laminas MVC分支

为解决Laminas MVC停用问题,Adobe Commerce现在使用Magento拥有的laminas-mvc分支(发布为magento/magento-zf-mvc)。 此分支代码确保持续修补并长期符合Adobe Commerce 2.4.8的安全要求。

2.4.8-p4

Adobe Commerce 2.4.8-p4安全版本为2.4.8以前版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB26-05

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

对DHL配送集成的MyDHL REST API支持

除了现有的DHL Express XML集成之外,DHL传送集成现在还支持MyDHL REST API。 此更新与DHL的当前API栈栈保持一致,并为弃用旧版XML API做准备。

添加与最新编辑器版本的兼容性

Adobe Commerce 2.4.8已更新,以支持编辑器2.9.x,同时保持与编辑器2.2 LTS兼容。

2.4.8-p3

Adobe Commerce 2.4.8-p3安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-94

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • 修复了CVE-2025-54236以解决REST API漏洞。 Adobe于2025年9月发布了针对此问题的修补程序。 有关详细信息,请参阅所需操作:可用于Adobe Commerce的关键安全更新(APSB25-88)知识库文章。

  • 开发人员必须审查REST API构造函数参数验证,以了解如何更新扩展以符合这些安全更改。

  • 对ACP2E-3874的修复:现在,订购了多个相同项目时,订单详细信息的REST API响应将包含base_row_totalrow_total属性的正确值。

  • 修复了AC-15446:修复了Magento\Framework\Mail\EmailMessage中的一个错误,其中getBodyText()尝试在Symfony\Component\Mime\Message上调用不存在的getTextBody()方法,从而确保与Magento 2.4.8-p2和magento/framework 103.0.8-p2兼容。

  • 从TinyMCE迁移到Hugerte.org

    由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容,Adobe Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源GreatRTE编辑器

    此迁移确保Adobe Commerce保持对开源许可的合规性,避免已知的TinyMCE 6漏洞,并为商家和开发人员提供现代且受支持的编辑体验。

  • 已添加对Apache ActiveMQ Artemis STOMP协议的支持

    通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统,为基于STOMP的集成提供了灵活性。 请参阅​ Commerce配置指南 ​中的Apache ActiveMQ Artemis

已知问题

签出页面无法加载static.min.js和mixins.min.js

在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

解决方法

  • 禁用JavaScript捆绑包;或
  • 如果您保持启用JavaScript捆绑包,请禁用JavaScript缩小。
IMPORTANT
请勿在生产环境中禁用CSP或删除SRI保护。 对于任何插件级别的旁路,都只能用作修补程序的最后手段,并且必须由安全团队审核。

修补程序

提供了修补程序。 请参阅知识库中的启用JS缩小和捆绑时,签出失败以了解修补程序详细信息。

2.4.8-p2

Adobe Commerce 2.4.8-p2安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-71

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

2.4.8-p1

Adobe Commerce 2.4.8-p1安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅Adobe安全公告APSB25-50

NOTE
安装此安全修补程序后,Adobe Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅B2B发行说明

高亮

此版本包括以下功能亮点:

  • API性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

  • CMS阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。

    以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

  • Cookie限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。

  • 异步操作 — 用于覆盖先前客户订单的异步操作受限。

  • 修复了CVE-2025-47110 — 解决了电子邮件模板漏洞。

  • 修复VULN-31547 — 解决类别规范链接漏洞。

CVE-2025-47110和VULN-31547的修补程序也作为独立修补程序提供。 有关详细信息,请参阅知识库文章

style
shade-box
recommendation-more-help
commerce-operations-help-release