Adobe Commerce 2.4.8安全性修補程式的發行說明
這些安全性修補程式發行說明會擷取更新,以增強Adobe Commerce部署的安全性。 資訊包括但不限於:
- 安全性錯誤修正
- 安全性重點專案,提供安全性修補程式中所包含增強功能和更新的詳細資訊
- 已知問題
- 視需要套用其他修補程式的指示
- 此發行版本包含的任何修補程式的相關資訊
深入瞭解安全性修補程式發行版本:
- Adobe Commerce安全性修補程式發行概述
- 在 Adobe Commerce知識庫 的如何取得和套用安全性修補程式中,提供下載和套用安全性修補程式發行版本的指示。
2.4.8 - p5
Adobe Commerce 2.4.8-p5安全性版本針對2.4.8舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-49。
反白顯示
此版本包含下列重點專案:
MariaDB 11.8相容性
Adobe Commerce 2.4.8已經過相容於MariaDB 11.8的驗證,同時仍支援MariaDB 11.4。 此更新解決MariaDB 11.8中引入的SQL行為變更、預設更新和淘汰問題,以維持平台穩定性。
OpenSearch 3最新次要版本支援
Adobe Commerce 2.4.8現在支援雲端基礎結構、雲端原生和內部部署上的Adobe Commerce上最新的次要OpenSearch 3版本。 與OpenSearch 2的相容性得以保留。
Valkey 8.1 LTS支援
Adobe Commerce 2.4.8現在與Valkey 8.1 LTS相容,提供雲端基礎結構上的Adobe Commerce所支援的長期支援快取後端選項。
RabbitMQ 4.2支援
Adobe Commerce 2.4.8現在與RabbitMQ 4.2相容,後者處理RabbitMQ 4.1支援終止日期排定於2026年2月。 與Apache ActiveMQ Artemis的相容性得以保留,且ActiveMQ仍為此安全性專用發行版本的預設訊息佇列服務。
USPS REST API支援
除了舊版Web Tools API外,USPS船運整合現在還支援現代化的RESTful USPS API。 管理員可以從管理員設定中選取要使用的USPS整合API。 此更新會針對USPS網站工具API淘汰進行準備。
Magento擁有的Laminas MVC分支
為了解決Laminas MVC淘汰,Adobe Commerce現在使用Magento擁有的laminas-mvc復本(發佈為magento/magento-zf-mvc)。 此復本可確保持續修補及長期符合Adobe Commerce 2.4.8的安全性規範。
2.4.8 - p4
Adobe Commerce 2.4.8-p4安全性版本針對2.4.8舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB26-05。
反白顯示
此版本包含下列重點專案:
DHL出貨整合的MyDHL REST API支援
除了現有的DHL Express XML整合之外,DHL出貨整合現在也支援MyDHL REST API。 此更新會與DHL目前的API棧疊一致,並準備淘汰舊版XML API。
新增與最新撰寫器版本的相容性
Adobe Commerce 2.4.8已更新,以支援Composer 2.9.x,同時繼續與Composer 2.2 LTS相容。
2.4.8 - p3
Adobe Commerce 2.4.8-p3安全性版本針對2.4.8舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-94。
反白顯示
此版本包含下列重點專案:
-
CVE-2025-54236的修正可解決REST API弱點。 Adobe於2025年9月發佈此問題的Hotfix。 請參閱需要的動作: Adobe Commerce (APSB25-88)可用的重要安全性更新知識庫文章以取得詳細資料。
-
開發人員必須檢閱REST API建構函式引數驗證,以瞭解如何更新擴充功能以符合這些安全性變更。
-
ACP2E-3874的修正:訂單詳細資料的REST API回應現在包含
base_row_total和row_total屬性的正確值,以備已訂購數個相同專案時使用。 -
AC-15446的修正:修正
Magento\Framework\Mail\EmailMessage中getBodyText()嘗試在Symfony\Component\Mime\Message上呼叫不存在的getTextBody()方法的錯誤,確保與Magento 2.4.8-p2和magento/framework103.0.8-p2相容。 -
從TinyMCE移轉至Hugerte.org
由於TinyMCE 5和6的支援終止以及TinyMCE 7的授權不相容問題,Adobe Commerce WYSIWYG編輯器的目前實作從TinyMCE移轉到開放原始碼GreatRTE編輯器。
此移轉確保Adobe Commerce仍符合開放原始碼授權,避免已知的TinyMCE 6漏洞,並為商家和開發人員提供現代且受支援的編輯體驗。
-
已新增對Apache ActiveMQ Artemis STOMP通訊協定的支援
透過Simple Text Oriented Messaging Protocol (STOMP)新增對ActiveMQ Artemis開放原始碼訊息代理程式的支援。 它提供可靠且可擴充的傳訊系統,提供彈性的STOMP式整合。 請參閱 Commerce設定指南 中的Apache ActiveMQ Artemis。
已知問題
簽出頁面無法載入static.min.js和mixins.min.js
最近CSP/SRI變更後,當JavaScript套件組合和縮制都在生產模式中啟用時,簽出頁面不會載入static.min.js和mixins.min.js。 因此,RequireJS mixin無法執行,且出庫去底版範本無法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。
因應措施:
- 停用JavaScript套件組合;或
- 如果您持續啟用JavaScript套件組合,請停用JavaScript縮制。
Hotfix:
有可用的Hotfix。 請參閱知識庫中的啟用JS縮制和套件組合時,簽出失敗以取得修補程式詳細資料。
2.4.8 - p2
Adobe Commerce 2.4.8-p2安全性版本針對2.4.8舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-71。
2.4.8 - p1
Adobe Commerce 2.4.8-p1安全性版本針對2.4.8舊版中發現的漏洞提供安全性錯誤修正。
如需安全性錯誤修正的最新資訊,請參閱Adobe安全性公告APSB25-50。
反白顯示
此版本包含下列重點專案:
-
API效能增強 — 解決先前安全性修補程式之後引入的大量非同步Web API端點效能降低的問題。
-
CMS封鎖存取修正 — 解決具有受限制許可權(例如僅限銷售存取)的管理員使用者無法檢視CMS Blocks清單頁面的問題。
以前,這些使用者在安裝先前的安全性修補程式後,由於遺失設定引數而發生錯誤。
-
Cookie限制相容性 — 解決框架中涉及
MAX_NUM_COOKIES常數的回溯不相容變更。 此更新會還原預期行為,並確保與Cookie限制互動的擴充功能或自訂功能的相容性。 -
非同步作業 — 已限制用於覆寫先前客戶訂單的非同步作業。
-
修正CVE-2025-47110 — 解決電子郵件範本的弱點。
-
VULN-31547的修正 — 解決類別規範連結弱點。
CVE-2025-47110和VULN-31547的修正也以獨立修補程式的形式提供。 如需詳細資訊,請參閱知識庫文章。