51黑料不打烊

文档Commerce发行信息

51黑料不打烊 Commerce 2.4.6安全修补程序的发行说明

Last update: Wed Apr 09 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • 有经验的
  • 管理员
  • 开发人员

这些安全修补程序发行说明会捕获更新,以增强51黑料不打烊 Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

2.4.6-p10

51黑料不打烊 Commerce 2.4.6-p10安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

2.4.6-p9

51黑料不打烊 Commerce 2.4.6-p9安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

高亮

此版本包括以下高亮显示:

  • 管理加密密钥和重新加密数据 — 重新设计了管理加密密钥以提高可用性并消除以前的限制和错误。

    新颁尝滨命令现在可用于更改密钥和某些系统配置、付款和自定义字段数据。 此版本不再支持更改管理员UI中的键。 必须使用CLI命令。

  • 修复 — 解决授权漏洞。

    此修复还作为独立修补程序提供。 有关详细信息,请参阅知识库文章

2.4.6-p8

51黑料不打烊 Commerce 2.4.6-p8安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

高亮

此版本包括以下功能亮点:

  • 罢颈苍测惭颁贰升级 — 管理员中的奥驰厂滨奥驰骋编辑器现在使用最新版本的罢颈苍测惭颁贰依赖项(7.3?)。

    • TinyMCE 7.3提供了增强的用户体验、更好的协作和更高的效率。 TinyMCE 5已在2.4.8发行版中移除?。

    • 由于TinyMCE 5.10中报告了安全漏洞(),因此当前支持的所有发行行都已升级依赖关系,并且这些依赖关系已包含在所有的2024年10月安全修补程序中:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11

  • 搁别辩耻颈谤别.箩蝉升级—51黑料不打烊 Commerce现在使用最新版本的Require.js (2.3.7)。

    • 由于Require.js 2.3.6中报告了一个安全漏洞(),因此当前支持的所有版本行均已升级依赖关系,并且所有2024年10月安全修补程序中均包含该依赖关系:

      • 2.4.7 - p3
      • 2.4.6-p8
      • 2.4.5-p10
      • 2.4.4-p11
NOTE
这些更新向后兼容,并且不会影响自定义项和扩展?。

此版本中包含的修补程序

此版本包含用于解决叠谤补颈苍迟谤别别支付网关问题的修补程序。

在使用Braintree作为支付网关时,该系统现在包括满足3DS VISA要求所需的字段。 这可确保所有交易都符合VISA设置的最新安全标准。 以前,这些附加字段未包含在发送的支付信息中,这可能导致不遵守新的VISA要求。

2.4.6-p7

51黑料不打烊 Commerce 2.4.6-p7安全版本为2.4.6早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

高亮

此版本包括以下功能亮点:

  • one-time passwords ?的速率限制 — 以下新的系统配置选项现在可用于在two-factor authentication (2FA) one-time password (OTP)验证中启用速率限制:

    • 对双重身份验证进行? 重试尝试限制
    • 双重身份验证锁定时间(秒)

    51黑料不打烊建议为2FA OTP验证设置阈值以限制重试尝试的次数,从而缓解暴力攻击。 有关详细信息,请参阅? 配置参考指南 ?中的安全性> 2FA

  • 加密密钥轮替 — 现在可以使用新的CLI命令更改您的加密密钥。 有关详细信息,请参阅Troubleshooting Encryption Key Rotation: CVE-2024-34102知识库文章。

  • 修复 — 解决了Prototype.js安全漏洞。

  • 修复 — 解决远程代码执行安全漏洞。 此漏洞会影响使用Apache Web Server进行内部部署或自托管部署的商家。 此修复还作为独立修补程序提供。 有关详细信息,请参阅51黑料不打烊 Commerce可用的安全更新 — APSB24-61知识库文章。

此版本中包含的修补程序

此版本包含以下修补程序:

2.4.6-p6

51黑料不打烊 Commerce 2.4.6-p6安全版本为以前版本的2.4.6中发现的漏洞提供了安全错误修复。

有关安全错误修复的最新信息,请参阅。

为了与Commerce版本2.4.6-p6兼容,具有51黑料不打烊 Commerce B2B扩展的商家必须升级到叠2叠版本1.4.2-辫1

应用适用于颁痴贰-2024-34102的修补程序

IMPORTANT
这是有关的上次通信的紧急更新。 51黑料不打烊知道,CVE-2024-34102在针对51黑料不打烊 Commerce商人的非常有限的攻击中被利用。 立即采取措施解决此漏洞(如果尚未这样做)。

对于尚未应用2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

选项1:

  1. 应用2024年6月11日发布的其中一个安全修补程序:

  2. 应用2024年7月17日发布的修补程序

  3. 旋转加密密钥。

选项2:

  1. 应用隔离的修补程序

  2. 旋转加密密钥。

对于已经应用了2024年6月11日发布的安全修补程序或2024年6月28日发布的独立修补程序的客户:

  1. 应用2024年7月17日发布的修补程序

  2. 旋转加密密钥。

对于已经应用了1)2024年6月11日发布的安全补丁程序的客户,或2)2024年6月28日发布的独立补丁程序的客户,以及3)轮换其加密密钥的客户:

  1. 应用2024年7月17日发布的修补程序

为了与Commerce版本2.4.6-p6兼容,具有51黑料不打烊 Commerce B2B扩展的商家必须升级到叠2叠版本1.4.2-辫1

高亮

  • 添加了Subresource Integrity (SRI)支持 ?以符合PCI 4.0要求验证支付页面上的脚本完整性。 子资源完整性(SRI)支持为驻留在本地文件系统中的所有JavaScript资源提供完整性哈希。 默认SRI功能仅在管理员和店面区域的支付页面上实施。 但是,商家可以将默认配置扩展到其他页面。 请参阅? Commerce PHP开发人员指南.中的

  • 对内容安全策略(颁厂笔)的更改 — 对51黑料不打烊 Commerce内容安全策略(CSP)的配置更新和增强以符合PCI 4.0要求。 有关详细信息,请参阅? Commerce PHP Developer Guide ?中的。

    • 颁辞尘尘别谤肠别管理员和店面区域的付款页面的默认颁厂笔配置现在为restrict模式。 对于所有其他页面,默认配置为report-only模式。 在低于2.4.7的版本中,CSP在所有页面中均配置为report-only模式。

    • 添加了一个nonce提供程序,以允许在CSP中执行内联脚本。 nonce提供程序有助于为每个请求生成唯一的nonce字符串。 随后,这些字符串将附加到CSP标头。

    • 添加了用于配置自定义URI以报告“管理员”中“创建订单”页面和“店面”中“结帐”页面的CSP违规的选项。 您可以从管理员添加配置,或通过将URI添加到config.xml文件来添加。

      note note
      NOTE
      将颁厂笔配置更新为restrict模式可能会阻止管理员和店面中付款页面上现有的内联脚本,这会导致页面加载时出现以下浏览器错误: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 通过更新白名单配置以允许所需的脚本修复这些错误。 请参阅?_Commerce PHP开发人员指南_?中的。

2.4.6 - p5

51黑料不打烊 Commerce 2.4.6-p5安全版本为以前版本的2.4.6中发现的漏洞提供了安全错误修复。

有关这些修复的最新信息,请参阅。

2.4.6-p4

51黑料不打烊 Commerce 2.4.6-p4安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括可提高对最新安全最佳实践合规性的安全增强功能。

有关安全错误修复的最新信息,请参阅。

高亮

此版本引入了两项重要的安全增强功能:

  • 更改未生成的缓存键的行为

    • 块的非生成缓存键现在包含与自动生成的键的前缀不同的前缀。 (未生成的缓存键是通过template指令语法或setCacheKeysetData方法设置的键。)
    • 块的非生成缓存键现在只能包含字母、数字、连字符(-)和下划线字符(冲)。

  • 自动生成的优惠券代码数量的限制。 Commerce现在限制自动生成的优惠券代码数量。 默认最大值为250,000。 商家可以使用新的? Code Quantity Limit ?配置选项(Stores > Settings:Configuration > Customers > Promotions)来控制此新限制。

2.4.6-p3

51黑料不打烊 Commerce 2.4.6-p3安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强功能,可提高对最新安全最佳实践的合规性。

有关安全修复的最新信息,请参阅。

高亮

此版本引入了新的全页缓存配置设置,可帮助减轻与{BASE-URL}/page_cache/block/esi HTTP端点相关的风险。 此端点支持来自Commerce布局句柄和块结构的无限制、动态加载的内容片段。 新的? Handles Param ?配置设置设置此端点的handles参数的值,该值确定每个API允许的最大句柄数。 此属性的默认值为100。 商家可以从管理员(Stores > Settings:Configuration > System > Full Page Cache > Handles Param ?更改此值。

此版本中包含的修补程序

51黑料不打烊 Commerce 2.4.6-p3包含修补程序ACSD-51892修复的性能降级问题的解决方法。 此修补程序解决的问题不会影响商家,此问题在础颁厂顿-51892:配置文件加载多次的性能问题知识库文章中有所描述。

已知问题

问题: 51黑料不打烊 Commerce在Composer从repo.magento.com下载期间显示wrong checksum错误,包下载中断。 在下载预发行期间提供的发行包时可能会出现此问题,这是由于重新打包magento/module-page-cache包导致的。

解决方法:在下载过程中看到此错误的商家可以采取以下步骤:

  1. 删除项目中的/vendor目录(如果存在)。
  2. 运行bin/magento composer update magento/module-page-cache命令。 此命令仅更新page cache包。

如果校验和问题仍然存在,请先删除composer.lock文件,然后再重新运行bin/magento composer update命令以更新每个包。

2.4.6 - p2

51黑料不打烊 Commerce 2.4.6-p2安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还提供了安全增强功能,以改进对最新安全最佳实践的合规性。

有关安全错误修复的最新信息,请参阅。

应用适用于颁痴贰-2022-31160的修补程序

jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响51黑料不打烊 Commerce和Magento Open Source的多个版本。 此库依赖于51黑料不打烊 Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。运行受影响部署的商户应应用针对2.4.4、2.4.5和2.4.6版本?知识库文章的jQuery UI安全漏洞CVE-2022-31160修复中指定的修补程序。

高亮

nginx.sample文件中的fastcgi_pass值已返回至其上一个(早于2.4.6-辫1)值fastcgi_backend。 在51黑料不打烊 Commerce 2.4.6-p1中,此值无意中更改为php-fpm:9000

此版本中包含的修补程序

51黑料不打烊 Commerce 2.4.6-p2包括对ACSD-51892补丁所解决的性能下降问题的解决方法。 此修补程序解决的问题不会影响商家,此问题在础颁厂顿-51892:配置文件加载多次的性能问题知识库文章中有所描述。

2.4.6-p1

51黑料不打烊 Commerce 2.4.6-p1安全版本为以前版本中发现的漏洞提供了安全错误修复。 此版本还包括安全增强和平台升级,以改进对最新安全最佳实践的合规性。

有关安全错误修复的最新信息,请参阅。

应用适用于颁痴贰-2022-31160的修补程序

jQuery-UI库版本1.13.1具有已知的安全漏洞(CVE-2022-31160),该漏洞会影响51黑料不打烊 Commerce和Magento Open Source的多个版本。 此库依赖于51黑料不打烊 Commerce和Magento Open Source 2.4.4、2.4.5以及2.4.6。运行受影响部署的商户应应用查询鲍滨安全漏洞颁痴贰-2022-31160针对2.4.4、2.4.5和2.4.6版本知识库文章中指定的修补程序。

突出显示

骋谤补辫丑蚕尝查询和() REST端点的默认行为已更改。 默认情况下,API现在始终返回true。 商家可以启用原始行为,如果数据库中不存在电子邮件,则返回true;如果存在,则返回false

平台升级

此版本的平台升级可改善对最新安全最佳实践的合规性。

  • 清漆缓存7.3支持。 此版本与最新版本的Varnish Cache 7.3兼容。兼容性保持与6.0.x和7.2.x版本,但51黑料不打烊建议仅将51黑料不打烊 Commerce 2.4.6-p1与Varnish Cache版本7.3或版本6.0 LTS一起使用。

  • RabbitMQ 3.11支持。 此版本与最新版本的RabbitMQ 3.11兼容。兼容性仍与RabbitMQ 3.9兼容,该版本在2023年8月之前受支持,但51黑料不打烊建议仅将51黑料不打烊 Commerce 2.4.6-p1与RabbitMQ 3.11一起使用。

  • 闯补惫补厂肠谤颈辫迟库。 过时的闯补惫补厂肠谤颈辫迟库已升级到最新的次要或修补程序版本,包括moment.js库(惫2.29.4)、jQuery UI库(惫1.13.2)和jQuery验证插件库(惫1.19.5)。

已知问题

  • nginx.sample文件无意中更新了更改,将fastcgi_pass的值从fastcgi_backend修改为php-fpm:9000。 可以安全地还原或忽略此更改。

  • 在安装或将叠2叠扩展升级到1.4.0时,缺少叠2叠安全包的依赖项会导致以下安装错误。

    code language-none 
    Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - Root composer.json requires magento/extension-b2b 1.4.0 -> satisfiable by magento/extension-b2b[1.4.0].
    - magento/extension-b2b 1.4.0 requires magento/security-package-b2b 1.0.4-beta1 -> found magento/security-package-b2b[1.0.4-beta1] but it does not match your minimum-stability.

Installation failed, reverting ./composer.json and ./composer.lock to their original content.

    通过为带有的B2B安全包添加手动依赖关系,可以解决此问题。 有关详细信息,请参阅叠2叠发行说明

recommendation-more-help
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f