Behebung CVE-2022-31160 Sicherheitslücken in der JQuery-Benutzeroberfläche für die Versionen 2.4.4, 2.4.5 und 2.4.6

Letzte Aktualisierung: 19. Dezember 2024

Erstellt für:

  • Entwickler

Für jQuery-UI Bibliotheksversion 1.13.1 CVE-2022-31160 eine Sicherheitslücke gemeldet, die in Adobe Commerce 2.4.4, 2.4.5 und 2.4.6 als Abhängigkeit verwendet wird. Adobe sind keine Exploits für dieses Problem bekannt. Diese Sicherheitslücke wurde in jQuery-UI Bibliotheksversion 1.13.2 behoben.

Im Juni 2023 veröffentlichte Adobe 2.4.6-p1-, 2.4.5-p3- und 2.4.4-p4-Sicherheits-Patches, bei denen jQuery-UI Bibliotheksabhängigkeit auf die neueste Version 1.13.2 aktualisiert wurde. Um eine vollständige Fehlerbehebung zu erhalten, müssen Sie jedoch einen der beiden Patches anwenden, die diesem Artikel beigefügt sind.

Die jQuery-UI wurde aktualisiert, aber es gab jQuery-UI zusätzliche Modul- und Widget-Dateien, die nicht aktualisiert wurden. Wenn Sie Adobe Commerce 2.4.6-p1, 2.4.5-p3 und 2.4.4-p4 oder frühere Versionen verwenden, können Ihre Sicherheitsscanner weiterhin das jQuery-UI CVE-Problem feststellen.

Diesem Artikel sind zwei Patches beigefügt, eines für die Versionen 2.4.6 und 2.4.5 und eines für die Version 2.4.4, die eine vollständige Aktualisierung JQuery-UI Bibliothek auf Version 1.13.2 ermöglichen.

Dieses Problem wird im Rahmen der Sicherheits-Patches 2.4.6-p3, 2.4.5-p5 oder 2.4.4-p6 der Version Oktober 2023 behoben.

Betroffene Produkte und Versionen

  • Adobe Commerce, On-Premise und Magento Open Source:

    • 2,4,4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2,4,5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2,4,6
    • 2.4.6-p1
    • 2.4.6-p2

Lösung

Lesen Sie So wenden Sie einen Composer-Patch an, der von Adobe bereitgestellt, bevor Sie den entsprechenden Composer-Patch für die Version herunterladen, die Sie haben:

Für die Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3:

Um diese Sicherheitslücke in den Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3 zu beheben, wenden Sie einen Composer-Patch an AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Für die Versionen 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4:

Um diese Sicherheitslücke auf den Patches 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4 zu beheben, aktualisieren Sie auf die entsprechenden Patches 2.4.6-p2, 2.4.5-p4 oder 2.4.4-p5 „security-only“ und wenden Sie einen Composer-Patch an AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch oder Composer-Patch AC-9260_2.4.4-p5_2.4.4-p4.patch abhängig von Ihrer Adobe Commerce-Version.

Für die Versionen 2.4.4-p4 und 2.4.4-p5:

Um diese Sicherheitslücke in den Versionen 2.4.4-p4 und 2.4.4-p5 zu beheben, wenden Sie einen Composer-Patch an AC-9260_2.4.4-p5_2.4.4-p4.patch.

Vorherige SeitesalesRule Probleme mit Bezeichnungen beim Upgrade von Versionen < 2.4.5
Nächste SeiteMigration der Integration der Versandmethode von der SOAP zur RESTful-API FedEx

Commerce