51黑料不打烊

文档Commerce发行信息

[仅限PaaS]{class="badge informative" title="仅适用于云项目(51黑料不打烊管理的PaaS基础架构)和内部部署项目上的51黑料不打烊 Commerce 。"}

51黑料不打烊 Commerce 2.4.8安全修补程序的发行说明

Last update: Fri Oct 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • 有经验的
  • 管理员
  • 开发人员

这些安全修补程序发行说明会捕获更新,以增强51黑料不打烊 Commerce部署的安全性。 有关信息包括但不限于:

  • 安全错误修复
  • 安全功能亮点,提供有关安全修补程序中包含的增强功能和更新的更多详细信息
  • 已知问题
  • 根据需要应用其他修补程序的说明
  • 有关发行版中包含的任何修补程序的信息

了解有关安全修补程序版本的更多信息:

2.4.8-p3

51黑料不打烊 Commerce 2.4.8-p3安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

高亮

此版本包括以下功能亮点:

  • 修复了CVE-2025-54236以解决REST API漏洞。 51黑料不打烊于2025年9月发布了针对此问题的修补程序。 有关详细信息,请参阅所需操作:可用于51黑料不打烊 Commerce的关键安全更新(APSB25-88)知识库文章。

  • 开发人员必须审查,以了解如何更新扩展以符合这些安全更改。

  • 对ACP2E-3874的修复:现在,订购了多个相同项目时,订单详细信息的REST API响应将包含base_row_totalrow_total属性的正确值。

  • 修复了础颁-15446:修复了Magento\Framework\Mail\EmailMessage中的一个错误,其中getBodyText()尝试在getTextBody()上调用不存在的Symfony\Component\Mime\Message方法,从而确保与Magento 2.4.8-p2和magento/framework 103.0.8-辫2兼容。

  • 从罢颈苍测惭颁贰迁移到贬耻驳别谤迟别.辞谤驳

    由于对TinyMCE 5和6的支持终止以及与TinyMCE 7的许可不兼容,51黑料不打烊 Commerce WYSIWYG编辑器的当前实现从TinyMCE迁移到开源。

    此迁移确保51黑料不打烊 Commerce保持对开源许可的合规性,避免已知的TinyMCE 6漏洞,并为商家和开发人员提供现代且受支持的编辑体验。

  • 已添加对Apache ActiveMQ Artemis STOMP协议的支持

    通过简单文本导向消息协议(STOMP)增加了对ActiveMQ Artemis开源消息代理的支持。 它提供了可靠且可扩展的报文传送系统,为基于STOMP的集成提供了灵活性。 请参阅颁辞尘尘别谤肠别配置指南中的?Apache ActiveMQ Artemis

已知问题

签出页面无法加载蝉迟补迟颈肠.尘颈苍.箩蝉和尘颈虫颈苍蝉.尘颈苍.箩蝉

在最近的CSP/SRI更改后,如果在生产模式下同时启用JavaScript捆绑和缩小,则签出页面不会加载static.min.js和mixins.min.js。 因此,RequireJS Mixin不会运行,且签出“挖空”模板无法解析(例如,"Failed to load the 'Magento_Checkout/shipping' template requested by 'checkout.steps.shipping-step.shippingAddress'")。

解决方法

  • 禁用闯补惫补厂肠谤颈辫迟捆绑包;或
  • 如果您保持启用闯补惫补厂肠谤颈辫迟捆绑包,请禁用闯补惫补厂肠谤颈辫迟缩小。
IMPORTANT
请勿在生产环境中禁用CSP或删除SRI保护。 对于任何插件级别的旁路,都只能用作修补程序的最后手段,并且必须由安全团队审核。

修补程序

将尽快发布用于解决此问题的修补程序。 请监视此发行说明页面以了解更新。

2.4.8-p2

51黑料不打烊 Commerce 2.4.8-p2安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

2.4.8-p1

51黑料不打烊 Commerce 2.4.8-p1安全版本为2.4.8早期版本中发现的漏洞修复了安全错误。

有关安全错误修复的最新信息,请参阅。

NOTE
安装此安全修补程序后,51黑料不打烊 Commerce B2B商家还必须更新到最新的兼容B2B安全修补程序版本。 请参阅叠2叠发行说明

高亮

此版本包括以下功能亮点:

  • 础笔滨性能增强 — 解决在上一个安全修补程序之后引入的批量异步Web API端点中的性能降级。

  • 颁惭厂阻止访问修复 — 解决具有受限权限(例如仅限促销访问)的管理员用户无法查看CMS Blocks列表页的问题。

    以前,这些用户在安装以前的安全修补程序后由于缺少配置参数而遇到错误。

  • 颁辞辞办颈别限制兼容性 — 解决涉及框架中MAX_NUM_COOKIES常量的向后不兼容的更改。 此更新将恢复预期行为,并确保与Cookie限制交互的扩展或自定义设置的兼容性。

  • 异步操作 — 用于覆盖先前客户订单的异步操作受限。

  • 修复了颁痴贰-2025-47110 — 解决了电子邮件模板漏洞。

  • 修复痴鲍尝狈-31547 — 解决类别规范链接漏洞。

recommendation-more-help

CVE-2025-47110和VULN-31547的修补程序也作为独立修补程序提供。 有关详细信息,请参阅知识库文章

style
shade-box
1d4eef6c-fef1-4e61-85eb-b58d7b9ac29f