Beveiligingsverbeteringen
Deze release bevat dezelfde beveiligingsoplossingen en platformverbeteringen als Adobe Commerce 2.4.6-p5, 2.4.5-p7 en 2.4.4-p8. Hoewel er tot op heden geen bevestigde aanvallen zijn geweest, kunnen bepaalde kwetsbaarheden mogelijk worden misbruikt om toegang te krijgen tot klantinformatie of beheerderssessies over te nemen. De meeste van deze problemen vereisen dat een aanvaller eerst toegang krijgt tot de beheeromgeving. Daarom is het essentieel om uw beheeromgeving te beschermen door onder andere:
IP-whitelisting
Twee-factor-authenticatie
Gebruik van een VPN
Gebruik van een unieke locatie in plaats van /admin
Goede wachtwoordpraktijken
Aanvullende beveiligingsverbeteringen
Wijzigingen in cache-sleutels: Niet-gegenereerde cache-sleutels voor blokken bevatten nu voorvoegsels die verschillen van automatisch gegenereerde sleutels. Deze sleutels mogen nu alleen letters, cijfers, koppeltekens (-) en onderstrepingstekens (_) bevatten.
Beperking op automatisch gegenereerde kortingscodes: Er is nu een limiet van 250.000 op het aantal automatisch gegenereerde kortingscodes. Merchants kunnen deze limiet aanpassen via de nieuwe configuratieoptie ‘Code Quantity Limit’ (Winkels > Instellingen:Configuratie > Klanten > Promoties).
Optimalisatie van de standaard Admin URL-generatie: Het genereren van de standaard Admin URL is geoptimaliseerd voor verhoogde willekeur, waardoor deze minder voorspelbaar is.
Nieuwe configuratie-instelling voor volledige pagina-cache: Een nieuwe instelling helpt de risico’s te beperken die verbonden zijn aan het endpoint {BASE-URL}/page_cache/block/esi. De standaardwaarde is 100, maar merchants kunnen deze aanpassen via de Admin (Winkels > Instellingen:Configuratie > Systeem > Volledige pagina-cache > Handles params size).
Ondersteuning voor Subresource Integrity (SRI): Om te voldoen aan PCI 4.0-vereisten is SRI-ondersteuning toegevoegd voor alle JavaScript-bestanden op betalingspagina’s. Merchants kunnen deze configuratie uitbreiden naar andere pagina’s.
Wijzigingen in Content Security Policy (CSP): Er zijn updates en verbeteringen aangebracht in de CSP’s om te voldoen aan PCI 4.0-vereisten. De standaard CSP-configuratie voor betalingspagina’s is nu ‘restrict mode’. Voor alle andere pagina’s is de standaardconfiguratie ‘report-only mode’.
Rate limiting voor betalingsinformatie via REST en GraphQL API’s: Merchants kunnen nu rate limiting configureren voor betalingsinformatie die wordt verzonden via REST en GraphQL, wat helpt bij het voorkomen van ‘carding’-aanvallen.
Wijziging in het gedrag van de isEmailAvailable API: Standaard retourneert deze API nu altijd ‘true’. Merchants kunnen het oorspronkelijke gedrag inschakelen door de optie ‘Enable Guest Checkout Login’ in de Admin op ‘ja’ te zetten, maar dit kan klantinformatie blootstellen aan niet-geauthenticeerde gebruikers.
Platformverbeteringen
Compatibiliteit met PHP 8.3: Deze release introduceert ondersteuning voor PHP 8.3. Magento Open Source ondersteunt nu zowel PHP 8.3 als 8.2. PHP 8.2 wordt ondersteund tot december 2025. Na deze datum wordt migratie naar PHP 8.3 aanbevolen.
Ondersteuning voor RabbitMQ 3.13: Deze release is compatibel met RabbitMQ 3.13. Hoewel compatibiliteit met RabbitMQ 3.11 en 3.12 behouden blijft, wordt het gebruik van versie 3.13 aanbevolen.
Compatibiliteit met Composer 2.7.x: Compatibiliteit met Composer 2.2.x blijft behouden.
Ondersteuning voor Varnish Cache 7.4: Deze release is compatibel met Varnish Cache 7.4. Hoewel compatibiliteit met versies 6.0.x en 7.2.x behouden blijft, wordt het gebruik van versie 7.4 of versie 6.0 LTS aanbevolen.
Compatibiliteit met Elasticsearch 8.11 en OpenSearch 2.12 en 1.3: Deze release ondersteunt deze versies.
Ondersteuning voor Redis 7.2: Deze release is compatibel met Redis 7.2.
Vervanging van extjs door jsTree: De extjs-bibliotheek is vervangen door de nieuwste versie van jsTree.
Verwijdering van jquery/fileUpload-bibliotheek: Deze bibliotheek is verwijderd.
Bijwerking van JavaScript-bibliotheken en NPM-afhankelijkheden: Alle JavaScript-bibliotheken en NPM-afhankelijkheden in de kerncode van Magento Open Source zijn bijgewerkt naar de nieuwste beschikbare versies.
Bijwerking van Laminas-bibliotheekafhankelijkheden: Alle Laminas-bibliotheekafhankelijkheden zijn bijgewerkt naar de nieuwste versies die compatibel zijn met PHP 8.3.
Bekijk alle release notes op magento.com
