文件Commerce發行資訊

Adobe Commerce 2.4.7安全性修補程式的發行說明

最後更新: 2026年5月12日

建立對象:

  • Experienced
  • Admin
  • Developer

這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:

  • 安全性錯誤修正
  • 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
  • 已知問題
  • 視需要套用其他修補程式的指示
  • 此發行版本包含的任何修補程式的相關資訊

深入瞭解安全性修補程式發行版本:

IMPORTANT
MySQL 8.0將於2026年4月30日起終止支援(EOS)。
在此日期之後,Adobe Commerce 2.4.7將不再提供相容性或>支援在MySQL 8.0之後發行的任何MySQL版本。 Adobe不會>在此Adobe上驗證或支援較新的MySQL主要版本>Commerce版本行。
所有執行2.4.7版的Adobe Commerce內部部署客戶為>建議將其資料庫伺服器移轉至相容的MariaDB版本。

2.4.7-p10

Adobe Commerce 2.4.7-p10安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-49

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

MariaDB 11.8相容性

Adobe Commerce 2.4.7-p10引入與MariaDB 11.8版的相容性。 MariaDB 11.8引入了SQL行為變更、預設值、淘汰和效能最佳化。 此更新會主動解決潛在問題,以維護平台穩定性及未來整備。

OpenSearch 3最新次要版本支援

Adobe Commerce 2.4.7現在支援雲端基礎結構、雲端原生和內部部署上的Adobe Commerce上最新的次要OpenSearch 3版本。 與OpenSearch 2的相容性得以保留。

Valkey 8.1 LTS支援

Adobe Commerce 2.4.7現在與Valkey 8.1 LTS相容,提供雲端基礎結構上的Adobe Commerce所支援的長期支援快取後端選項。

RabbitMQ 4.2支援

Adobe Commerce 2.4.7現在與RabbitMQ 4.2相容,後者處理RabbitMQ 4.1支援終止日期排定於2026年2月。 與Apache ActiveMQ Artemis的相容性得以保留,且ActiveMQ仍為此安全性專用發行版本的預設訊息佇列服務。

USPS REST API支援

除了舊版Web Tools API外,USPS船運整合現在還支援現代化的RESTful USPS API。 管理員可以從管理員設定中選取要使用的USPS整合API。 此更新會針對USPS網站工具API淘汰進行準備。

Magento擁有的Laminas MVC分支

為了解決Laminas MVC淘汰,Adobe Commerce現在使用Magento擁有的laminas-mvc復本(發佈為magento/magento-zf-mvc)。 此復本可確保持續修補及長期符合Adobe Commerce 2.4.7的安全性規範。

2.4.7 - p9

Adobe Commerce 2.4.7-p9安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-05

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

DHL出貨整合的MyDHL REST API支援

除了現有的DHL Express XML整合之外,DHL出貨整合現在也支援MyDHL REST API。 此更新會與DHL目前的API棧疊一致,並準備淘汰舊版XML API。

新增與最新撰寫器版本的相容性

Adobe Commerce 2.4.7已更新,以支援Composer 2.9.x,同時繼續與Composer 2.2 LTS相容。

2.4.7 - p8

Adobe Commerce 2.4.7-p8安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-94

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

此版本包含下列重點專案:

  • CVE-2025-54236的修正可解決REST API弱點。 Adobe於2025年9月發佈此問題的Hotfix。 請參閱需要的動作: Adobe Commerce (APSB25-88)可用的重要安全性更新知識庫文章以取得詳細資料。

  • 開發人員必須檢閱REST API建構函式引數驗證,以瞭解如何更新擴充功能以符合這些安全性變更。

  • 從TinyMCE移轉至Hugerte.org

    由於TinyMCE 5和6的支援終止以及TinyMCE 7的授權不相容問題,Adobe Commerce WYSIWYG編輯器的目前實作從TinyMCE移轉到開放原始碼GreatRTE編輯器

    此移轉確保Adobe Commerce仍符合開放原始碼授權,避免已知的TinyMCE 6漏洞,並為商家和開發人員提供現代且受支援的編輯體驗。

  • 已新增對Apache ActiveMQ Artemis STOMP通訊協定的支援

    透過Simple Text Oriented Messaging Protocol (STOMP)新增對ActiveMQ Artemis開放原始碼訊息代理程式的支援。 它提供可靠且可擴充的傳訊系統,提供彈性的STOMP式整合。 請參閱​ Commerce設定指南 ​中的Apache ActiveMQ Artemis

已知問題

簽出頁面無法載入static.min.js和mixins.min.js

最近CSP/SRI變更後,當JavaScript套件組合和縮制都在生產模式中啟用時,簽出頁面不會載入static.min.js和mixins.min.js。 因此,RequireJS mixin無法執行,且出庫去底版範本無法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

因應措施

  • 停用JavaScript套件組合;或
  • 如果您持續啟用JavaScript套件組合,請停用JavaScript縮制。
IMPORTANT
請勿在生產環境中停用CSP或移除SRI保護。 任何外掛程式層級的略過,都只能當作Hotfix的最後手段,且必須由安全性團隊檢閱。

Hotfix

有可用的Hotfix。 請參閱知識庫中的啟用JS縮制和套件組合時,簽出失敗以取得修補程式詳細資料。

2.4.7 - p7

Adobe Commerce 2.4.7-p7安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-71

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

2.4.7 - p6

Adobe Commerce 2.4.7-p6安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-50

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • MariaDB支援 — 新增對MariaDB 10.11的支援。

  • API效能增強 — 解決先前安全性修補程式之後引入的大量非同步Web API端點效能降低的問題。

  • CMS封鎖存取修正 — 解決具有受限制許可權(例如僅限銷售存取)的管理員使用者無法檢視CMS Blocks清單頁面的問題。

    以前,這些使用者在安裝先前的安全性修補程式後,由於遺失設定引數而發生錯誤。

  • Cookie限制相容性 — 解決框架中涉及MAX_NUM_COOKIES常數的回溯不相容變更。 此更新會還原預期行為,並確保與Cookie限制互動的擴充功能或自訂功能的相容性。

  • 非同步作業 — 已限制用於覆寫先前客戶訂單的非同步作業。

2.4.7 - p5

Adobe Commerce 2.4.7-p5安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-26

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

已移除「System > Support > Data Collector」支援工具,以防止未經授權的存取並增強平台安全性。

此發行版本也引入對Adobe Commerce HIPAA就緒擴充功能的支援。

style
shade-box

已知問題

問題:安裝PHP 8.2或更新版本的2.4.7-p5時,系統會安裝2.4.8或更新版本的paypal/module-braintree 4.7.0版。 對於PHP 8.1,使用正確的Braintree版本4.6.1-p5。 這個不符是由於Metapackage中對adobe-commerce/extensions-metapackage: ~2.0的鬆散相依性所造成。 這會影響PHP 8.2+部署的相容性和支援的功能集。

此外,針對2.4.7-p3、2.4.7-p4和2.4.7-p5版,可能會安裝Braintree擴充功能4.6.1-p5版,而部分使用者則預期4.6.1-p3或p4版,因為先前較嚴格的相依性已放鬆,而允許在發行版本線內進行擴充功能升級。

因應措施:若要確保您的PHP版本有正確的Braintree版本,請執行composer update安裝由adobe-commerce/extensions-metapackage:2.0.0相依性指定的適當版本。

2.4.7 - p4

Adobe Commerce 2.4.7-p4安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-08

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • 管理加密金鑰並重新加密資料 — 重新設計管理加密金鑰以提升使用性,並消除先前的限制和錯誤。

    新的CLI命令現在可用於變更金鑰和重新加密特定系統組態、付款和自訂欄位資料。 此版本不再支援變更管理員UI中的索引鍵。 您必須使用CLI指令。

  • 修正CVE-2025-24434 — 解決授權漏洞。

    此修正也可作為獨立修補程式使用。 如需詳細資訊,請參閱知識庫文章

  • TinyMCE版本降級—TinyMCE相依性已從版本7降級至6.8.5,以解決授權相容性問題。

    Adobe會評估替代開放原始碼WYSIWYG編輯器,此變更可確保持續法規遵循。

2.4.7 - p3

Adobe Commerce 2.4.7-p3安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-73

NOTE
安裝此安全性修補程式後,Adobe Commerce B2B商家也必須更新至最新相容的B2B安全性修補程式版本。 請參閱B2B發行說明

反白顯示

此版本包含下列重點專案:

  • TinyMCE升級 — 管理員中的WYSIWYG編輯器現在使用最新版本的TinyMCE相依性(7.3​)。

    • TinyMCE 7.3提供更優異的使用者體驗、更出色的協同合作,以及更高的效率。 TinyMCE 5已在2.4.8版本行中移除​。

    • 由於TinyMCE 5.10中報告安全性弱點(CVE-2024-38357),因此目前支援的所有發行版本系列也升級了相依性,並包含在所有的2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11

  • Require.js升級—Adobe Commerce現在使用最新版Require.js (2.3.7)。

    • 由於Require.js 2.3.6中報告有安全性弱點(CVE-2024-38999),因此目前支援的所有發行版本行也升級了相依性,並包含在所有2024年10月安全性修補程式中:

      • 2.4.7 - p3
      • 2.4.6 - p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
這些更新可回溯相容,且不會影響自訂專案和擴充功能​。

此版本中包含的Hotfix

此版本包含解決Braintree付款閘道問題的Hotfix。

使用Braintree作為付款閘道時,系統現在包含必要欄位,以履行3DS VISA授權需求。 這可確保所有交易都符合VISA所設定的最新安全性標準。 先前,這些額外欄位未包含在傳送的付款資訊中,這可能會導致不遵守新的VISA要求。

2.4.7 - p2

Adobe Commerce 2.4.7-p2安全性版本針對2.4.7舊版中發現的漏洞提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-61

反白顯示

此版本包含下列重點專案:

  • one-time passwords​的速率限制 — 下列新的系統組態選項現在可用於在two-factor authentication (2FA) one-time password (OTP)驗證上啟用速率限制:

    • 雙因素驗證的重試限制
    • 雙因素驗證鎖定時間(秒)

    Adobe建議設定2FA OTP驗證的臨界值,以限制重試次數,減少暴力攻擊。 如需詳細資訊,請參閱組態參考指南中的​安全性> 2FA

  • 加密金鑰輪換 — 現在有新的CLI命令可用來變更您的加密金鑰。 如需詳細資訊,請參閱疑難排解加密金鑰輪換: CVE-2024-34102知識庫文章。

  • 修正CVE-2020-27511 — 解決Prototype.js安全性弱點。

  • 修正CVE-2024-39397 — 解決遠端程式碼執行安全性弱點。 此弱點會影響使用Apache Web Server進行內部部署或自行託管部署的商家。 此修正也可作為獨立修補程式使用。 檢視可用於Adobe Commerce的安全性更新 — APSB24-61知識庫文章以取得詳細資料。

此版本中包含的Hotfix

此版本包含下列Hotfix:

  • 解決JavaScript錯誤(導致Google Map無法在​ PageBuilder ​編輯器中正確呈現)的Hotfix。 如需詳細資訊,請參閱所有Adobe Commerce版本知識庫文章中Google地圖存取遺失的修訂修補程式。
  • 解決與CVE-2024-34102相關的JSON Web權杖(JWT)驗證問題的Hotfix。 如需詳細資訊,請參閱Adobe Commerce-APSB24-40知識庫文章中可用的安全性更新。

2.4.7 - p1

Adobe Commerce 2.4.7-p1安全性版本針對2.4.7舊版中發現的弱點提供安全性錯誤修正。

如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB24-40

套用CVE-2024-34102的Hotfix

IMPORTANT
這是我們上次關於CVE-2024-34102通訊的緊急更新。 Adobe得知,CVE-2024-34102在針對Adobe Commerce商家的非常有限的攻擊中被瘋狂利用。 如果您尚未解決此問題,請立即採取行動。

對於尚未套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

選項1:

  1. 套用2024年6月11日發行的其中一個安全性修補程式:

  2. 套用2024年7月17日發行的Hotfix

  3. 旋轉加密金鑰。

選項2:

  1. 套用隔離的修補程式

  2. 旋轉加密金鑰。

對於已套用2024年6月11日發行的安全性修補程式或2024年6月28日發行的隔離修補程式的客戶:

  1. 套用2024年7月17日發行的Hotfix

  2. 旋轉加密金鑰。

針對已套用1)於2024年6月11日發行的安全性修補程式的客戶,或2)於2024年6月28日發行的隔離修補程式,以及3)輪換其加密金鑰的客戶:

  1. 套用2024年7月17日發行的Hotfix

反白顯示

此版本包含下列重點專案:

  • 更新Google Authenticator的一次性密碼(OTP)設定 — 需要此更新來解決2.4.7中回溯不相容變更所導致的錯誤。 OTP Window​欄位的描述現在提供設定的正確說明,預設值已從1變更為29

  • B2B版本相容性 — 為了與Commerce 2.4.7-p1版相容,擁有Adobe Commerce B2B擴充功能的商家必須升級至B2B 1.4.2-p1版。

此版本中包含的Hotfix

Adobe Commerce 2.4.7-p1解決了UPS整合從SOAP移轉至REST API的範圍中發生的問題。 此問題會影響出貨到美國境外的客戶,使他們無法使用公制系統/SI測量方式(千克與公分)來建立搭配UPS的出貨。 請參閱UPS送貨方法整合從SOAP移轉至RESTful API知識庫文章以取得詳細資料。

recommendation-more-help
commerce-operations-help-release