Sicherheitslücke der JQuery-Benutzeroberfläche CVE-2022-31160 - Fehlerbehebung für Versionen 2.4.4, 2.4.5 und 2.4.6

Es wurde eine Sicherheitslücke vom Typ CVE-2022-31160 für die jQuery-UI -Bibliotheksversion 1.13.1 gemeldet, die in Adobe Commerce 2.4.4, 2.4.5 und 2.4.6 als Abhängigkeit verwendet wird. Adobe ist über die Ausnutzung dieses Problems nicht informiert. Diese Sicherheitslücke wurde in der jQuery-UI -Bibliothek Version 1.13.2 behoben.

Im Juni 2023 veröffentlichte Adobe 2.4.6-p1, 2.4.5-p3 und 2.4.4-p4 Sicherheits-Patches, bei denen die jQuery-UI -Bibliotheksabhängigkeit auf die neueste Version 1.13.2 aktualisiert wurde. Sie müssen jedoch einen der beiden an diesen Artikel angehängten Patches auf eine vollständige Korrektur anwenden.

Die Hauptdatei jQuery-UI wurde aktualisiert, es gab jedoch jQuery-UI zusätzliche Modul- und Widget-Dateien, die nicht aktualisiert wurden. Wenn Sie Adobe Commerce 2.4.6-p1, 2.4.5-p3 und 2.4.4-p4 oder frühere Versionen verwenden, können Ihre Sicherheitsscanner weiterhin das Problem jQuery-UI CVE feststellen.

An diesen Artikel werden zwei Patches angehängt, eine für 2.4.6-Versionen und 2.4.5-Versionen und eine für 2.4.4-Versionen, die ein vollständiges Upgrade der JQuery-UI -Bibliothek auf Version 1.13.2 ermöglichen.

Dieses Problem wird im Rahmen der Release-Sicherheits-Patches 2.4.6-p3, 2.4.5-p5 oder 2.4.4-p6 vom Oktober 2023 behoben.

Betroffene Produkte und Versionen

  • Adobe Commerce, vor Ort und Magento Open Source:

    • 2,4,4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2,4,5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2,4,6
    • 2.4.6-p1
    • 2.4.6-p2

Lösung

Siehe Anwenden eines von Adobe bereitgestellten Composer-Patches, bevor Sie den entsprechenden Composer-Patch für die Version herunterladen, den Sie haben:

Für die Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3:

Um diese Sicherheitslücke in den Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3 zu beheben, wenden Sie einen Composer-Patch AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3 an Patch.

Für die Versionen 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4.4:

Um diese Sicherheitslücke in 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4 zu beheben, aktualisieren Sie auf eine entsprechende 2.4.6-p2, 2.4.5-p4 oder 2.4.4-p 5 Sicherheitspatches und Composer-Patch AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch oder Composer-Patch AC-9260_2.4.4-p5_2.4-p 4.patch abhängig von Ihrer Adobe Commerce-Version.

Für die Versionen 2.4.4-p4 und 2.4.4-p5:

Um diese Sicherheitslücke in den Versionen 2.4.4-p4 und 2.4.4-p5 zu beheben, wenden Sie einen Composer-Patch AC-9260_2.4.4-p5_2.4.4-p4.patch an.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a