A mais recente versão do Magento Open Source 2.4.3 apresenta aprimoramentos de desempenho e segurança, além de melhorias significativas na plataforma. Os aprimoramentos de segurança incluem a expansão da cobertura do reCAPTCHA e a inclusão de limitação de taxa embutida. As dependências do compositor principal e bibliotecas de terceiros foram atualizadas para as versões mais recentes que são compatíveis com PHP 8.x. O Page Builder está agora disponível como uma extensão agrupada no Magento Open Source. Agora é a ferramenta de edição de conteúdo padrão para Adobe Commerce e Magento Open Source.
Esta versão inclui mais de 370 novas correções para o código principal e 33 melhorias de segurança. Inclui a resolução de quase 290 problemas do GitHub pelos membros da nossa comunidade. Essas contribuições da comunidade variam de uma pequena limpeza do código principal até melhorias significativas no GraphQL.
Esta versão inclui mais de 370 novas correções para o código principal e 33 melhorias de segurança. Todos os problemas conhecidos identificados nas notas de lançamento do Magento Open Source 2.4.2 foram corrigidos neste lançamento.
Aprimoramentos de segurança substanciais
Esta versão inclui 33 correções de segurança e melhorias na segurança da plataforma. Muitas dessas correções de segurança foram portadas para Magento 2.4.2-p2 e Magento 2.3.7-p1.
Trinta e três melhorias de segurança que ajudam a fechar as vulnerabilidades de execução remota de código (RCE) e cross-site scripting (XSS)
Nenhum ataque confirmado relacionado a esses problemas ocorreu até o momento. No entanto, certas vulnerabilidades podem ser exploradas para acessar informações do cliente ou assumir o controle de sessões de administrador. A maioria desses problemas exige que um invasor primeiro obtenha acesso ao Admin. Como resultado, lembramos você de tomar todas as medidas necessárias para proteger seu administrador, incluindo, mas não se limitando a esses esforços: lista de permissões de IP, autenticação de dois fatores , uso de VPN, uso de um local exclusivo em vez de /admin.
Aprimoramentos de segurança adicionais
As melhorias de segurança para esta versão melhoram a conformidade com as práticas recomendadas de segurança mais recentes, incluindo:
- Um novo plug-in do Composer ajuda a evitar confusão de dependências e identifica pacotes maliciosos com os mesmos nomes de pacotes internos no repositório de pacotes público.
- A limitação de taxa agora está integrada às APIs do Magento para evitar ataques de negação de serviço (DoS). APIs da Web agora impõem restrições sobre o tamanho ou número de recursos (o máximo padrão é definido como 20 e pode ser configurado com um valor diferente com base na necessidade do negócio) que podem ser solicitados por um cliente. Consulte Limitação de taxa para obter informações sobre como configurar essas restrições.
- A cobertura ReCAPTCHA foi estendida para incluir:
- As APIs da Web que possuem páginas HTML correspondentes são abordadas por meio do ReCAPTCHA. (Isso exclui APIs da web que são acessadas por integrações.) A cobertura do ReCAPTCHA protege os terminais de ataques de spam. Quando as APIs da web são acessadas por um serviço de integração de terceiros que usa OAuth, o ReCAPTCHA é desativado.
- A página da loja Place Order e APIs da web relacionadas a pagamentos. A proteção ReCAPTCHA para essas páginas está desabilitada por padrão e pode ser habilitada no Admin. Essa cobertura adiciona um mecanismo anti-força bruta para proteger as lojas de ataques de cardagem.
-
Melhorias de desempenho
Esta versão inclui aprimoramentos que diminuem o tempo de indexação para indexadores de Preço de Produto e Regra de Catálogo. Os comerciantes agora podem excluir um site de um grupo de clientes ou catálogo compartilhado, o que reduz o número de registros para indexação e melhora os tempos de indexação.
Construtor de Página
O Page Builder está agora disponível como uma extensão agrupada no Magento Open Source. Agora é a ferramenta de edição de conteúdo padrão para Adobe Commerce 2.4.3 e Magento Open Source 2.4.3. Ele pode substituir o editor WYSIWG por qualquer módulo de terceiros.
O Construtor de Páginas substitui o editor TinyMCE nas seguintes áreas de administração:
- Página CMS
- Bloco CMS
- Descrição da Categoria
- Descrição do Produto
Todo o conteúdo criado no TinyMCE foi migrado para o Page Builder como HTML.
Cron
- As consultas de limpeza do cron foram reformuladas para reduzir ou eliminar os seguintes problemas de desempenho:
crontarefas que permanecem travadas em um estado pendente, consultas MySQL cada vez mais lentas e um aumento no uso da CPU. GitHub-26507
