26Juin, 2024
Magento 2.4.7 — Principaux points forts, fonctionnalités et avantages
Aperçu de la version 2.4.7 de Magento
Excellente nouvelle pour la communauté Magento ! Adobe Commerce a publié la dernière version de Magento, la 2.4.7.
Avec la sortie de Magento 2.4.7, une large gamme de nouvelles fonctionnalités, de correctifs cruciaux et d’améliorations sont disponibles pour améliorer votre expérience e-commerce.
La nouvelle version de Magento est chargée de plus de 140 améliorations en termes de sécurité, de fonctionnalités, de performance et de résolution de divers bugs critiques.
Comparée aux notes de version de Magento 2.4.6, la version 2.4.7 de Magento prend désormais en charge PHP 8.3.
Cette dernière version va révolutionner la manière dont les commerçants et les acheteurs interagissent en ligne. Dans ce blog, nous allons détailler les principaux points forts, les fonctionnalités et les avantages de la dernière version de Magento 2.4.7.
Principaux points forts de la version 2.4.7 de Magento
- 13 correctifs de sécurité incluant des validations robustes, des bibliothèques, des jetons, des permissions, des nettoyages, etc.
- Plus de 150 améliorations et correctifs pour Magento Open Source.
- Sécurité renforcée pour les informations de paiement transférées via GraphQL et REST API.
- 200 améliorations de qualité et autres améliorations pour Adobe Commerce.
- Amélioration de la capacité de mise en cache de GraphQL.
- Prise en charge des dernières versions de MariaDB, MySQL, Elasticsearch, PHP, RabbitMQ, Varnish, OpenSearch, etc.
- Introduction du Metapackage d’extensions pour Magento Open Source.
Autres points forts
- Performance de recherche de catalogue plus rapide et plus précise.
- Prise en charge du dernier PHP 8.3.
- Expérience développeur fluide.
- Capacités améliorées d’édition d’attributs pour les produits complexes.
- Couverture améliorée de GraphQL.
- Améliorations de Craft CLI.
- Problèmes résolus avec des passerelles de paiement célèbres comme Braintree et PayPal pour garantir des expériences de paiement sans interruption.
- Informations complètes sur le journal d’activité.
- Dernières API bulk asynchrones pour gérer de grands ensembles de données.
- Nouveau script pour réinitialiser les placements de Visual Merchandiser.
Maintenant que nous avons vu les points forts de la dernière version de Magento, examinons en profondeur ce que nous offre cette mise à jour.
Publication de Magento 2.4.7 – Tout ce que vous devez savoir
- Améliorations de performance
La version Magento 2.4.7 propose diverses améliorations de performance, notamment en matière de gestion du cache et d’indexation optimisée.
Ces améliorations offrent des temps de chargement plus rapides et une réactivité globale améliorée du système, bénéficiant directement aux acheteurs en ligne en leur offrant une expérience d’achat fluide. L’outil Page Builder introduit dans Magento 2.3 a également été mis à jour dans cette dernière version de Magento.
Avec cette fonctionnalité, les utilisateurs peuvent créer et gérer facilement des pages de contenu en utilisant une interface de type glisser-déposer.
La fonctionnalité améliorée vous permet de développer des pages encore plus interactives et attrayantes, ce qui augmente l’engagement des clients et les taux de conversion.
Mises à jour des fonctionnalités B2B
Avec cette mise à jour, la version Magento 2.4.7 fait un pas remarquable en avant dans les capacités.
- B2B en incluant B2B 1.4.2:
En plus de corriger des bogues et des erreurs critiques, cette version met davantage l’accent sur les améliorations des serveurs d’application PHP d’Adobe Commerce à partir de la version 2.4.6-beta2. Cela assure une couverture étendue pour les API GraphQL B2B et une expérience utilisateur plus fluide.
S’appuyant sur les améliorations introduites dans 2.4.7-beta1, cette itération simplifie l’expérience B2B. Désormais, les représentants commerciaux peuvent générer des devis directement depuis le panneau d’administration, et les remises sur les lignes de produits gagnent en polyvalence avec des pourcentages, des options de tarification étendues et une valeur fixe. Le processus de négociation devient plus transparent avec la possibilité d’échanger des notes directement sur les devis.
La vue détaillée du devis bénéficie d’une refonte conviviale qui permet des actions fluides telles que la modification des notes, l’ajout d’articles, la configuration des produits directement depuis la page du devis et l’application de remises.
Magento 2.4.7 a également bénéficié d’autres améliorations des fonctionnalités B2B, telles que les API GraphQL et REST, qui incluent de nouveaux points de terminaison pour les devis initiés par les vendeurs et une couverture étendue pour les catalogues partagés. Cette version soutient l’engagement d’Adobe Commerce à améliorer et à affiner le parcours de commerce électronique B2B.
- Renforcement de la sécurité
La dernière version de Magento inclut les mêmes améliorations de sécurité et correctifs que ceux trouvés dans les versions d’Adobe Commerce 2.4.6-p5, 2.4.5-p7 et 2.4.4-p8.
Cependant, bien qu’aucune attaque confirmée liée à ces problèmes n’ait été trouvée ou signalée jusqu’à présent, plusieurs vulnérabilités pourraient potentiellement être exploitées pour obtenir des données client ou prendre le contrôle de sessions administratives. De nombreuses de ces vulnérabilités nécessitent que les attaquants aient d’abord accès à l’interface d’administration.
Il est donc important de prendre toutes les mesures de sécurité nécessaires pour protéger votre interface d’administration, telles que l’utilisation d’un VPN, la mise en place de listes blanches d’IP, l’activation de l’authentification à deux facteurs, le maintien de bonnes pratiques de gestion de mots de passe, etc.
D’autres améliorations en matière de sécurité comprennent :
- Limitation du nombre total de codes de coupon auto-générés pour éviter la surcharge du système.
- Configuration de la dernière paramétrage de cache de page complète pour atténuer les risques liés à des points d’accès spécifiques.
- Clés de cache non générées pour les blocs avec limitations de caractères et préfixes.
- Optimisation du processus de génération de l’URL d’administration par défaut pour une amélioration de l’aléatoire.
- Modifications du comportement par défaut dans le point d’accès REST et la requête GraphQL pour la disponibilité des e-mails.
Pourquoi passer à Magento 2.4.7 ?
La mise à niveau vers la dernière version de Magento, 2.4.7, est une excellente option car elle renforce la sécurité pour garantir que votre boutique eCommerce est entièrement protégée contre toutes les menaces.
Cette dernière mise à jour de Magento comprend des améliorations de performance qui réduisent le temps de chargement de votre boutique. Cela entraîne une satisfaction client accrue et augmente les ventes.
La version 2.4.7 de Magento inclut également les dernières fonctionnalités qui simplifient la gestion de votre site web en ligne, le rendant plus efficace et plus simple.
La mise à jour prend en charge les dernières technologies comme PHP 8.3 pour maintenir votre boutique eCommerce conforme aux normes actuelles.
De plus, elle résout les bugs des versions précédentes pour offrir une expérience d’achat client plus fluide et fiable.
Caractéristiques et avantages de Magento 2.4.7
- La dernière version de Magento, 2.4.7, intègre plusieurs changements destinés à améliorer les performances, la commodité et la sécurité des boutiques en ligne.
- Améliorations de la performance : La version 2.4.7 de Magento est centrée sur la performance, notamment avec la capacité GraphQL. Cela se traduit par une gestion améliorée du cache, plus d’agilité et des interfaces optimisées, offrant ainsi une plateforme plus efficace pour les commerçants et les clients.
- Gestion améliorée du panier : Grâce à la nouvelle fonction createGuestCart, la gestion des paniers d’achat pour les utilisateurs invités est simplifiée. De plus, vous pouvez maintenant vider certains paniers sélectionnés en une seule étape, facilitant ainsi votre travail.
- Annulation de commande simplifiée : Les clients peuvent annuler leurs commandes et fournir des raisons à cet effet. Cette fonctionnalité libère les clients et réduit la charge sur votre service client.
- Chargements de page plus rapides : Avec des requêtes de parseur optimisées et des requêtes pouvant être mises en cache, la performance des sites web lors de périodes de trafic élevé est considérablement améliorée, offrant à vos clients une option de navigation pratique.
- Meilleure présentation des produits : Les vues de l’historique des commandes ont été étendues avec des options pour afficher les images des produits, améliorant ainsi la perception du processus de commande. Cela peut entraîner une augmentation du trafic et des taux de conversion plus élevés.
- Traitement des paiements amélioré : Des modifications apportées au module natif de la passerelle de paiement Braintree de Magento visent à améliorer les taux de conversion en facilitant les achats impulsifs.
- Paiements express : La version 2.4.7 de Magento propose davantage de méthodes de paiement express à la caisse, y compris PayPal, PayPal Pay Later, Apple Pay et Google Pay. Cela rend l’achat plus facile et réduit la probabilité d’abandon du processus d’achat par le client, augmentant ainsi les conversions.
Publication de Magento 2.4.7 – Corrections majeures des problèmes
| Category | Issue Fixed | Description |
| Security | Remote Code Execution Vulnerability | Fixed an issue where attackers could execute arbitrary code via the web API. |
| Performance | Cache Performance | Improved caching mechanisms to reduce load times and improve performance under heavy traffic. |
| Catalog | Product Attribute Save Error | Resolved an issue where saving product attributes caused errors and failed to update correctly. |
| Checkout | PayPal Payment Error | Fixed an issue causing errors during PayPal payments, ensuring smoother transaction processing. |
| Inventory | Stock Quantity Mismatch | Addressed inconsistencies in stock quantity updates across multiple stores. |
| API | API Data Retrieval Issue | Fixed issues with data retrieval via the REST API, ensuring accurate data is returned. |
| Admin | Admin Login Timeout | Resolved an issue causing frequent admin login timeouts, improving session stability. |
| Theme | Layout Rendering Problems | Fixed rendering issues with custom themes, ensuring consistent layout across different viewports. |
| Database | Deadlock Issues | Addressed database deadlock issues that occurred during high transaction volumes. |
| Order Management | Duplicate Orders | Fixed an issue causing duplicate orders to be created under certain conditions. |
| Shipping | Incorrect Shipping Rates | Resolved issues with incorrect shipping rates being calculated for specific shipping methods. |
| Payment Gateway | Stripe Payment Gateway Error | Fixed compatibility issues with Stripe, ensuring smooth payment processing. |
| Customer | Customer Group Changes Not Saved | Fixed issues where changes to customer groups were not being saved properly. |
| Promotions | Cart Price Rule Error | Resolved errors in applying cart price rules correctly, ensuring promotional discounts work as intended. |
| Product Import/Export | Product Import Failing with Large Data Sets | Addressed failures in importing large data sets of products, improving the import/export functionality. |
Résumé
En résumé, la publication de Magento 2.4.7 apporte plusieurs nouvelles fonctionnalités et corrections de bugs qui contribuent à améliorer la fonctionnalité et la sécurité de la plateforme.
Cette mise à jour inclut également des fonctionnalités telles qu’un meilleur contrôle des stocks, des améliorations des fonctionnalités de sécurité et la compatibilité avec les dernières versions de PHP.
La version Magento 2.4.7 introduit également des innovations qui améliorent l’expérience d’achat avec une meilleure recherche et une vitesse de chargement des pages plus rapide.
Elle est conçue pour aider les commerçants à gérer leurs boutiques en ligne de manière plus efficace tout en offrant une meilleure expérience d’achat.
Si vous êtes intéressé par les services de développement Magento 2, contactez-moi dès maintenant.
Je possède une expérience approfondie et peut vous aider à tirer pleinement parti de ces nouvelles fonctionnalités pour votre boutique en ligne. Nous garantissons que votre site eCommerce sera sécurisé, rapide et facile à naviguer avec Magento 2.4.7.
19Juin, 2024
L’attaque CosmicSting menace 75 % des Adobe Commerce stores
Une semaine après la publication d’un correctif de sécurité critique, seulement un quart de tous les magasins Adobe Commerce et Magento ont été patchés.
CosmicSting (alias CVE-2024-34102) est le pire bug à affecter les magasins Magento et Adobe Commerce depuis deux ans. En soi, il permet à quiconque de lire des fichiers privés (tels que ceux contenant des mots de passe). Cependant, combiné avec le bug iconv récent dans Linux, il se transforme en un cauchemar de sécurité permettant l’exécution de code à distance. Ce bug critique donne un contrôle total aux adversaires et l’attaque peut être automatisée, ce qui pourrait entraîner des piratages massifs à l’échelle mondiale.
| CVE | 2024-34102 |
| Type | unauthorized XXE, RCE together with CVE-2024-2961 |
| Severity | CVSS 9.8 |
| Automatable | no interaction needed |
| Exploit | verified by Sansec, not public yet |
| Credits | discoverd by spacewasp |
« It’s a bad one »
Son score de sévérité record de 9,8 sur le Common Vulnerability Scoring System (CVSS), une échelle de 10 points, a conduit à cette déclaration d’Adobe :
« C’est un mauvais bug et vous devriez appliquer le correctif. Il est probable que ce ne soit qu’une question de temps avant que quelqu’un ne publie une analyse et des étapes de reproduction. »
Adobe a publié un correctif pour les attaques CosmicSting la semaine dernière. Bien qu’Adobe n’ait naturellement pas partagé les détails de l’attaque, Sansec a pu reproduire l’attaque à partir du code du correctif. Nous pensons que les acteurs malveillants travaillent déjà sur la même chose.
Pour contexte : des problèmes de sécurité aussi critiques ne sont survenus que trois fois auparavant dans l’histoire de Magento :
- 2015 : attaque Shoplift
- 2019 : attaque Ambionics
- 2022 : attaque Trojan Order
À chacune de ces occasions, des dizaines de milliers de magasins ont été piratés, parfois en quelques heures. Il est donc vital de mettre à jour vos magasins dès que possible.
Préoccupations concernant la mise à niveau
Sansec, qui surveille les plates-formes de commerce électronique mondiales, a découvert que seulement 25 % des magasins ont été mis à niveau depuis la publication de la mise à jour de sécurité la semaine dernière. Un facteur compliquant est que la mise à jour de sécurité peut perturber la fonctionnalité de paiement existante. Adobe a rétroporté l’implémentation CSP/SRI imposée par le PCI de la version 2.4.7. Cela risque de perturber les scripts Javascript tiers et les scripts en ligne dans votre processus de paiement. Sansec recommande de passer en mode ‘Report-Only’ avant la mise à niveau. De cette façon, votre processus de paiement continuera de fonctionner, et vous disposerez d’un temps suffisant pour enquêter sur les modules incompatibles avant que les nouvelles exigences PCI ne prennent effet en avril 2025.
Il est également recommandé d’activer la surveillance CSP. Sansec propose un service de surveillance CSP gratuit que vous pouvez configurer en quelques minutes.
Emergency fix
Si vous ne pouvez en aucun cas effectuer la mise à niveau dans les prochains jours, il existe deux mesures d’urgence que vous pourriez mettre en œuvre dès aujourd’hui.
Tout d’abord, assurez-vous que les versions de vos serveurs Linux sont à jour (testez ici), ce qui atténuera certains (mais pas tous) des risques.
Deuxièmement, voici un correctif d’urgence que vous pouvez ajouter en haut de app/bootstrap.php. Il bloquera la majorité des attaques CosmicSting. Veuillez noter que nous fournissons ce correctif sans garantie.
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}