Adobe Commerce 2.4.6安全性修補程式的發行說明
這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:
- 安全性錯誤修正
- 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
- 已知問題
- 視需要套用其他修補程式的指示
- 此發行版本包含的任何修補程式的相關資訊
深入瞭解安全性修補程式發行版本:
- Adobe Commerce安全性修補程式發行概述
- 在 Adobe Commerce知識庫 的如何取得和套用安全性修補程式中,提供下載和套用安全性修補程式發行版本的指示。
2.4.6-p15
Adobe Commerce 2.4.6-p15安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-49。
反白顯示
此版本包含下列重點專案:
OpenSearch 3最新次要版本支援
Adobe Commerce 2.4.6現在支援雲端基礎結構、雲端原生和內部部署上的Adobe Commerce上最新的次要OpenSearch 3版本。 與OpenSearch 2的相容性得以保留。
Valkey 8.1 LTS支援
Adobe Commerce 2.4.6現在與Valkey 8.1 LTS相容,提供雲端基礎結構上的Adobe Commerce所支援的長期支援快取後端選項。
RabbitMQ 4.2支援
Adobe Commerce 2.4.6現在與RabbitMQ 4.2相容,後者處理RabbitMQ 4.1支援終止日期排定於2026年2月。 與Apache ActiveMQ Artemis的相容性得以保留,且ActiveMQ仍為此安全性專用發行版本的預設訊息佇列服務。
USPS REST API支援
除了舊版Web Tools API外,USPS船運整合現在還支援現代化的RESTful USPS API。 管理員可以從管理員設定中選取要使用的USPS整合API。 此更新會針對USPS網站工具API淘汰進行準備。
Magento擁有的Laminas MVC分支
為了解決Laminas MVC淘汰,Adobe Commerce現在使用Magento擁有的laminas-mvc復本(發佈為magento/magento-zf-mvc)。 此復本可確保持續修補及長期符合Adobe Commerce 2.4.6的安全性規範。
2.4.6-p14
Adobe Commerce 2.4.6-p14安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-05。
反白顯示
此版本包含下列重點專案:
PHPUnit升級支援從2.4.7反向移植修正
Adobe Commerce 2.4.6已經過驗證,可搭配安全PHPUnit發行版本所需的sebastian/comparator程式庫更新版本執行。 作為此檢閱的一部分,Adobe評估了先前限制升級至修補PHPUnit版本的相依性限制。
客戶現在可以調整其Composer需求,例如設定需求sebastian/comparator:^4.0,安全地將PHPUnit更新為安全版本。 此更新不會影響Adobe Commerce 2.4.6功能或預期行為。
DHL出貨整合的MyDHL REST API支援
除了現有的DHL Express XML整合之外,DHL出貨整合現在也支援MyDHL REST API。 此更新會與DHL目前的API棧疊一致,並準備淘汰舊版XML API。
2.4.6-p13
Adobe Commerce 2.4.6-p13安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-94。
反白顯示
此版本包含下列重點專案:
-
CVE-2025-54236的修正可解決REST API弱點。 Adobe於2025年9月發佈此問題的Hotfix。 請參閱需要的動作: Adobe Commerce (APSB25-88)可用的重要安全性更新知識庫文章以取得詳細資料。
-
開發人員必須檢閱REST API建構函式引數驗證,以瞭解如何更新擴充功能以符合這些安全性變更。
-
從TinyMCE移轉至Hugerte.org
由於TinyMCE 5和6的支援終止以及TinyMCE 7的授權不相容問題,Adobe Commerce WYSIWYG編輯器的目前實作從TinyMCE移轉到開放原始碼GreatRTE編輯器。
此移轉確保Adobe Commerce仍符合開放原始碼授權,避免已知的TinyMCE 6漏洞,並為商家和開發人員提供現代且受支援的編輯體驗。
-
已新增對Apache ActiveMQ Artemis STOMP通訊協定的支援
透過Simple Text Oriented Messaging Protocol (STOMP)新增對ActiveMQ Artemis開放原始碼訊息代理程式的支援。 它提供可靠且可擴充的傳訊系統,提供彈性的STOMP式整合。 請參閱 Commerce設定指南 中的Apache ActiveMQ Artemis。
已知問題
遺失清查撰寫器安裝程式套件
此版本不包含magento/inventory-composer-installer套件,這是從舊次版本順利升級(具有回溯不相容的變更)的必要套件。
如果您從2.3升級至2.4.6-p13,請先執行下列命令以安裝magento/inventory-composer-installer封裝,然後再進行升級:
composer require magento/inventory-composer-installer
簽出頁面無法載入static.min.js和mixins.min.js
最近CSP/SRI變更後,當JavaScript套件組合和縮制都在生產模式中啟用時,簽出頁面不會載入static.min.js和mixins.min.js。 因此,RequireJS mixin無法執行,且出庫去底版範本無法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
因應措施:
- 停用JavaScript套件組合;或
- 如果您持續啟用JavaScript套件組合,請停用JavaScript縮制。
Hotfix:
有可用的Hotfix。 請參閱知識庫中的啟用JS縮制和套件組合時,簽出失敗以取得修補程式詳細資料。
2.4.6-p12
Adobe Commerce 2.4.6-p12安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-71。
2.4.6-p11
Adobe Commerce 2.4.6-p11安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-50。
反白顯示
此版本包含下列重點專案:
-
MariaDB支援 — 新增對MariaDB 10.11的支援。
-
API效能增強 — 解決先前安全性修補程式之後引入的大量非同步Web API端點效能降低的問題。
-
CMS封鎖存取修正 — 解決具有受限制許可權(例如僅限銷售存取)的管理員使用者無法檢視CMS Blocks清單頁面的問題。
以前,這些使用者在安裝先前的安全性修補程式後,由於遺失設定引數而發生錯誤。
-
Cookie限制相容性 — 解決框架中涉及
MAX_NUM_COOKIES常數的回溯不相容變更。 此更新會還原預期行為,並確保與Cookie限制互動的擴充功能或自訂功能的相容性。 -
非同步作業 — 已限制用於覆寫先前客戶訂單的非同步作業。
2.4.6-p10
Adobe Commerce 2.4.6-p10安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-26。
反白顯示
已移除「System > Support > Data Collector」支援工具,以防止未經授權的存取並增強平台安全性。
2.4.6 - p9
Adobe Commerce 2.4.6-p9安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-08。
反白顯示
此版本包含下列重點專案:
-
管理加密金鑰並重新加密資料 — 重新設計管理加密金鑰以提升使用性,並消除先前的限制和錯誤。
新的CLI命令現在可用於變更金鑰和重新加密特定系統組態、付款和自訂欄位資料。 此版本不再支援變更管理員UI中的索引鍵。 您必須使用CLI指令。
-
修正CVE-2025-24434 — 解決授權漏洞。
此修正也可作為獨立修補程式使用。 如需詳細資訊,請參閱知識庫文章。
-
TinyMCE版本降級—TinyMCE相依性已從版本7降級至6.8.5,以解決授權相容性問題。
Adobe會評估替代開放原始碼WYSIWYG編輯器,此變更可確保持續法規遵循。
2.4.6 - p8
Adobe Commerce 2.4.6-p8安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-73。
反白顯示
此版本包含下列重點專案:
-
TinyMCE升級 — 管理員中的WYSIWYG編輯器現在使用最新版本的TinyMCE相依性(7.3)。
-
TinyMCE 7.3提供更優異的使用者體驗、更出色的協同合作,以及更高的效率。 TinyMCE 5已在2.4.8版本行中移除。
-
由於TinyMCE 5.10中報告安全性弱點(CVE-2024-38357),因此目前支援的所有發行版本系列也升級了相依性,並包含在所有的2024年10月安全性修補程式中:
- 2.4.7 - p3
- 2.4.6 - p8
- 2.4.5-p10
- 2.4.4-p11
-
-
Require.js升級—Adobe Commerce現在使用最新版Require.js (2.3.7)。
-
由於Require.js 2.3.6中報告有安全性弱點(CVE-2024-38999),因此目前支援的所有發行版本行也升級了相依性,並包含在所有2024年10月安全性修補程式中:
- 2.4.7 - p3
- 2.4.6 - p8
- 2.4.5-p10
- 2.4.4-p11
-
此版本中包含的Hotfix
此版本包含解決Braintree付款閘道問題的Hotfix。
使用Braintree作為付款閘道時,系統現在包含必要欄位,以履行3DS VISA授權需求。 這可確保所有交易都符合VISA所設定的最新安全性標準。 先前,這些額外欄位未包含在傳送的付款資訊中,這可能會導致不遵守新的VISA要求。
2.4.6 - p7
Adobe Commerce 2.4.6-p7安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-61。
反白顯示
此版本包含下列重點專案:
-
one-time passwords的速率限制 — 下列新的系統組態選項現在可用於在two-factor authentication (2FA) one-time password (OTP)驗證上啟用速率限制:
- 雙因素驗證的重試限制
- 雙因素驗證鎖定時間(秒)
Adobe建議設定2FA OTP驗證的臨界值,以限制重試次數,減少暴力攻擊。 如需詳細資訊,請參閱組態參考指南中的安全性> 2FA。
-
加密金鑰輪換 — 現在有新的CLI命令可用來變更您的加密金鑰。 如需詳細資訊,請參閱疑難排解加密金鑰輪換: CVE-2024-34102知識庫文章。
-
修正CVE-2020-27511 — 解決Prototype.js安全性弱點。
-
修正CVE-2024-39397 — 解決遠端程式碼執行安全性弱點。 此弱點會影響使用Apache Web Server進行內部部署或自行託管部署的商家。 此修正也可作為獨立修補程式使用。 檢視可用於Adobe Commerce的安全性更新 — APSB24-61知識庫文章以取得詳細資料。
此版本中包含的Hotfix
此版本包含下列Hotfix:
- 解決JavaScript錯誤(導致Google Map無法在 PageBuilder 編輯器中正確呈現)的Hotfix。 如需詳細資訊,請參閱所有Adobe Commerce版本知識庫文章中Google地圖存取遺失的修訂修補程式。
- 解決與CVE-2024-34102相關的JSON Web權杖(JWT)驗證問題的Hotfix。 如需詳細資訊,請參閱Adobe Commerce-APSB24-40知識庫文章中可用的安全性更新。
2.4.6 - p6
Adobe Commerce 2.4.6-p6安全性版本針對2.4.6舊版中已發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-40。
為了與Commerce 2.4.6-p6版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。
套用CVE-2024-34102的Hotfix
對於尚未套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:
選項1:
選項2:
對於已套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:
針對已套用1)於2024年6月11日發行的安全性修補程式的客戶,或2)於2024年6月28日發行的隔離修補程式,以及3)輪換其加密金鑰的客戶:
- 套用2024年7月17日發行的Hotfix。
為了與Commerce 2.4.6-p6版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。
反白顯示
-
已新增子資源完整性(SRI)支援,以符合PCI 4.0對驗證付款頁面上指令碼完整性的要求。 子資源完整性(SRI)支援為駐留在本機檔案系統中的所有JavaScript資產提供完整性雜湊。 預設SRI功能僅在管理員和店面區域的付款頁面上實作。 不過,商家可以將預設設定延伸至其他頁面。 請參閱Commerce PHP開發人員指南.中的子資源完整性
-
內容安全性原則(CSP)的變更—Adobe Commerce內容安全性原則(CSP)的組態更新和增強功能,以符合PCI 4.0的要求。 如需詳細資訊,請參閱Commerce PHP Developer Guide中的內容安全性原則。
-
Commerce管理員和店面區域的付款頁面的預設CSP設定現在是
restrict模式。 對於所有其他頁面,預設設定為report-only模式。 在2.4.7之前的發行版本中,所有頁面的CSP都設定為report-only模式。 -
新增Nonce提供者,允許在CSP中執行內嵌指令碼。 Nonce提供者可協助為每個請求產生唯一的Nonce字串。 這些字串接著會附加至CSP標頭。
-
新增選項,可設定自訂URI以報告「管理員」中「建立訂單」頁面的CSP違規以及店面中的「結帳」頁面。 您可以從管理員新增設定,或將URI新增至
config.xml檔案。note NOTE 將CSP設定更新為 restrict模式可能會封鎖管理員和店面中付款頁面上的現有內嵌指令碼,這會在頁面載入時導致下列瀏覽器錯誤:Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 更新白名單設定以允許必要的指令碼來修正這些錯誤。 請參閱Commerce PHP開發人員指南中的_疑難排解_。
-
2.4.6 - p5
Adobe Commerce 2.4.6-p5安全性版本針對2.4.6舊版中發現的漏洞提供安全性錯誤修正。
如需這些修正的最新資訊,請參閱Adobe安全性公告APSB24-18。
2.4.6 - p4
Adobe Commerce 2.4.6-p4安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-03。
反白顯示
此版本引進了兩項重要的安全性增強功能:
-
未產生快取金鑰的行為變更:
- 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取金鑰是透過範本指示詞語法或
setCacheKey或setData方法設定的金鑰。) - 區塊未產生的快取金鑰現在只能包含字母、數字、連字型大小(-)和底線字元(_)。
- 區塊的非產生快取金鑰現在包含與自動產生之金鑰的前置詞不同的前置詞。 (未產生的快取金鑰是透過範本指示詞語法或
-
自動產生優惠券代碼數目的限制。 Commerce現在會限制自動產生的抵用券代碼數量。 預設最大值為250,000。 商戶可以使用新的 Code Quantity Limit 組態選項(Stores > Settings:Configuration > Customers > Promotions)來控制這個新限制。
2.4.6 - p3
Adobe Commerce 2.4.6-p3安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能,可改善對最新安全性最佳實務的合規性。
如需安全性修正的最新資訊,請參閱Adobe安全性公告APSB23-50。
反白顯示
此發行版本引入新的全頁快取組態設定,有助於減輕與{BASE-URL}/page_cache/block/esi HTTP端點相關的風險。 此端點支援來自Commerce配置控點和區塊結構的不受限制、動態載入的內容片段。 新的 Handles Param 組態設定會設定此端點的handles引數值,此引數會決定每個API允許的控點數目上限。 此屬性的預設值為100。 商戶可從管理員(Stores > Settings:Configuration > System > Full Page Cache > Handles Param變更此值。
此版本中包含的Hotfix
Adobe Commerce 2.4.6-p3包含修補程式ACSD-51892所修正的效能降低解析度。 此修補程式解決的問題不會影響商家,相關說明請參閱ACSD-51892:設定檔載入多次的效能問題知識庫文章。
已知問題
問題: Adobe Commerce在Composer從repo.magento.com下載期間顯示wrong checksum錯誤,且封裝下載已中斷。 此問題可能發生於下載發行前期間可用的發行套件期間,而且是由重新封裝magento/module-page-cache套件所造成。
因應措施:在下載期間看到此錯誤的商家可執行下列步驟:
- 刪除專案內的
/vendor目錄(如果存在)。 - 執行
bin/magento composer update magento/module-page-cache命令。 這個命令只會更新page cache封裝。
如果檢查值問題持續發生,請先移除composer.lock檔案,再重新執行bin/magento composer update命令以更新每個封裝。
2.4.6 - p2
Adobe Commerce 2.4.6-p2安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也提供安全性增強功能,以更符合最新的安全性最佳實務。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-42。
套用CVE-2022-31160的Hotfix
jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source 2.4.4、2.4.5和2.4.6。 執行受影響部署的商戶應套用jQuery UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。
反白顯示
nginx.sample檔案中fastcgi_pass的值已傳回至它之前(2.4.6-p1之前)的fastcgi_backend值。 在Adobe Commerce 2.4.6-p1中,此值無意間變更為php-fpm:9000。
此版本中包含的Hotfix
Adobe Commerce 2.4.6-p2包含修補程式ACSD-51892所解決之效能降低的解析度。 此修補程式解決的問題不會影響商家,相關說明請參閱ACSD-51892:設定檔載入多次的效能問題知識庫文章。
2.4.6 - p1
Adobe Commerce 2.4.6-p1安全性版本針對先前版本中發現的漏洞提供安全性錯誤修正。 此版本也包含安全性增強功能和平台升級,以更符合最新的安全性最佳實務。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB23-35。
套用CVE-2022-31160的Hotfix
jQuery-UI資料庫1.13.1版具有已知的安全性弱點(CVE-2022-31160),會影響多個版本的Adobe Commerce和Magento Open Source。 此程式庫相依於Adobe Commerce和Magento Open Source 2.4.4、2.4.5和2.4.6。 執行受影響部署的商戶應套用查詢UI安全性弱點CVE-2022-31160針對2.4.4、2.4.5和2.4.6版本知識庫文章所指定的修補程式。
反白顯示
isEmailAvailable GraphQL查詢和(V1/customers/isEmailAvailable) REST端點的預設行為已變更。 依預設,API現在一律會傳回true。 商家可以啟用原始行為,如果電子郵件不存在於資料庫中,則會傳回true;如果存在,則會傳回false。
平台升級
此版本的平台升級可改善對最新安全性最佳實務的合規性。
-
清漆快取7.3支援。 此版本相容於最新版的Varnish Cache 7.3。 6.0.x和7.2.x版本仍維持相容性,但Adobe建議僅搭配清漆快取版本7.3或版本6.0 LTS使用Adobe Commerce 2.4.6-p1。
-
RabbitMQ 3.11支援。 此版本相容於最新版RabbitMQ 3.11。 與RabbitMQ 3.9的相容性維持不變(2023年8月之前提供支援),但Adobe建議僅將Adobe Commerce 2.4.6-p1與RabbitMQ 3.11搭配使用。
-
JavaScript資料庫。 過時的JavaScript程式庫已升級至最新的次要或修補程式版本,包括
moment.js程式庫(v2.29.4)、jQuery UI程式庫(v1.13.2)和jQuery驗證外掛程式程式庫(v1.19.5)。
已知問題
-
nginx.sample檔案不慎更新為變更,將fastcgi_pass的值從fastcgi_backend修改為php-fpm:9000。 此變更可以安全地還原或忽略。 -
遺失B2B安全性套件的相依性會在安裝或升級B2B擴充功能至1.4.0時造成下列安裝錯誤。
code language-shell Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0]. - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability. Installation failed, reverting ./composer.json and ./composer.lock to their original content.