僅限PaaS

Magento Open Source 2.4.1發行說明

最後更新: 2025年5月5日
  • 主題:

建立對象:

  • 經驗豐富
  • 管理員
  • 開發人員

Magento Open Source2.4.1引進了效能和安全性增強功能。 安全性增強功能包括支援Cookie的SameSite屬性,以及針對付款相關和訂單相關API端點,以及下單店面頁面新增驗證碼保護。

此版本包含2.4.0中包含的所有核心品質改善、超過150項核心程式碼的新修正,以及超過15項安全性增強。 其中包括我們社群成員解決近300個GitHub問題的方案。 這些社群貢獻的內容包括核心程式碼的少量清理,以及GraphQL中的重大增強功能。

此版本已修正2.4.0中確認的所有已知問題。

注意
Adobe Commerce版本可能包含與舊版不相容的變更(BIC)。 若要檢閱回溯不相容的變更,請參閱BIC參考。 在BIC重點專案中說明嚴重的回溯不相容問題。 並非所有發行版本都會推出主要BIC。

有可用的安全性修補程式

商戶現在可以安裝時效性強的安全性修正,而不需套用完整每季發行版本(例如2.4.0-p1)提供的數百個功能修正和增強功能。 修補程式2.4.0.1 (Composer套件2.4.0-p1)是安全性修補程式,針對先前季度發行版本2.4.0中發現的弱點提供修正。此安全性修補程式包含套用至2.4.0版的所有修補程式。 (Hot Fix ​提供已發行版本的修正,該版本可解決特定問題或錯誤。)

如需安全性修補程式的一般資訊,請參閱引入新的安全性修補程式版本。 如需有關下載和套用安全性修補程式(包括修補程式2.3.5-p2)的說明,請參閱快速入門內部部署。 安全性修補程式僅包含安全性錯誤修正,不包含完整修補程式中包含的其他安全性增強功能。

套用AC-3022.patch以繼續提供DHL作為運送承運商

DHL已匯入schema 6.2版,並將在不久的未來淘汰schema 6.0版。 支援DHL整合的Adobe Commerce 2.4.4及舊版僅支援6.0版。部署這些版本的商戶應儘早套用AC-3022.patch,以繼續提供DHL作為運送承運商。 請參閱套用修補程式,以繼續提供DHL作為運送業者知識庫文章,以取得有關下載和安裝修補程式的資訊。

其他發行資訊

雖然這些功能的程式碼隨季度發行捆綁,但其中幾個專案(例如Progressive Web Application (PWA) Studio)也獨立發行。 這些專案的錯誤修正記錄在每個專案檔案中提供的個別專案特定發行資訊中。

反白顯示

請檢視此版本中的下列重點專案。

大幅增強安全性

此版本包含超過15項安全性修正和平台安全性改善。 所有安全性修正已反向移植至2.4.0-p1和2.3.6。

超過15項安全性增強功能,有助於關閉遠端程式碼執行(RCE)和跨網站指令碼(XSS)漏洞

目前尚未發生與這些問題相關的已確認攻擊。 但是,某些漏洞可能會被用來存取客戶資訊或接管管理員工作階段。 這些問題大多需要攻擊者先取得Admin的存取權。 因此,我們提醒您採取一切必要步驟來保護您的管理員,包括但不限於:IP允許清單、雙因素驗證、使用VPN、使用唯一位置而非/admin以及良好的密碼衛生。 請參閱可用於Magento的安全性更新,以取得這些已修正問題的討論。

其他安全性增強功能

此版本的安全性改善包括:

  • 驗證碼 ​保護已新增至下列產品區域:

    • 下單店面頁面和REST與GraphQL端點
    • 付款相關的REST和GraphQL端點。

    預設會停用這些額外頁面的驗證碼保護。 其在Admin中的啟用方式與驗證碼涵蓋的其他頁面相同。 此保護已新增為反暴力機制,可保護存放區免受梳理攻擊。 請參閱驗證碼

  • 支援Cookie的SameSite屬性。 為了支援新Cookie分類系統的Google Chrome強制執行,處理Cookie的應用程式類別已更新為支援SameSite Cookie屬性。 此屬性預設設定為Lax,但可以明確覆寫。

  • 增強式安全性掃描工具。 Adobe已與Sanguine Security (防止數位略過的領導者)合作,將其超過8700個威脅簽章的資料庫整合到安全性掃描工具中。 此合作夥伴關係可透過主動偵測惡意程式碼並減少誤判,讓商家即時洞察其網站的安全狀態。 商家可以造訪https://account.magento.com/scanner來註冊此工具。 如需詳細資訊,請參閱使用增強式安全性掃描工具保護您的店面部落格。

注意
從2.3.2版開始,我們將指派並發佈索引式常見漏洞和暴露(CVE)編號,其中會包含外部各方回報給我們的每個安全性錯誤。 這可讓使用者更輕鬆地識別其部署中未解決的漏洞。 您可以在CVE進一步瞭解CVE識別碼。

基礎架構改良

此版本包含核心品質的增強功能,可改善架構的品質,並包含下列功能區域:客戶帳戶、目錄、CMS、OMS、匯入/匯出、促銷活動與鎖定目標、購物車與結帳,以及測試與預覽。

效能改良

  • 減少Redis與Magento ​之間的網路傳輸大小。 外掛程式清單設定現在會在bin/magento di:compile命令執行期間產生。 此設定資訊會根據範圍寫入產生的中繼資料資料夾。 以前,此資訊儲存在快取中。 產生的效能改善包括網路快取大小減少,以及許多案例的執行時間減少。

  • 增強訊息佇列消費者效能。 三個新的組態設定支援減少消費者佇列CPU耗用量。 這些選擇性引數可加強對使用者的控制,並節省伺服器資源。 請參閱設定訊息佇列以取得maxIdleTimesleeponlySpawnWhenMessageAvailable引數的說明。

  • 改善bin/magento命令的執行時間

Adobe Stock整合

此版本包含Adobe Stock整合v2.1.0。

新增媒體集

Admin現已預設啟用新媒體集。 商家現在可以在「媒體集」中的影像上執行下列動作:

  • 大量刪除影像

  • 識別店面未使用的重複影像和影像,最佳化媒體儲存空間

  • 依使用的店面區域篩選影像,包括產品和類別內容以及CMS區塊

  • 使用影像中繼資料

    • 從上傳至Media Gallery的影像檢視中繼資料
    • 編輯影像中繼資料(標題、說明和關鍵字)
    • 依影像的中繼資料搜尋影像

GraphQL

此版本新增GraphQL涵蓋下列功能:

如需這些增強功能的詳細資訊,請參閱GraphQL開發人員指南

PWA Studio

PWA Studio v8.0.0引進了新功能和增強功能:

  • 適用於設計權杖、印刷樣式、顏色、核心元件及版面配置的Venia風格指南更新。

  • 改善Venia迷你購物車體驗

  • Venia店面上多重地區設定和本地化內容的初始支援

  • Venia店面的「我的帳戶」體驗獲得多項改善

如需PWA Studio版本及其相容版本的清單,請參閱相容性。 如需有關增強功能和錯誤修正的資訊,請參閱PWA Studio版本