Behebung der Sicherheitslücke der JQuery-Benutzeroberfläche CVE-2022-31160 für die Versionen 2.4.4, 2.4.5 und 2.4.6

Die Adobe Commerce-Versionen 2.4.4, 2.4.5 und 2.4.6 verwenden die jQuery-Benutzeroberfläche 1.13.1 mit einer bekannten Sicherheitslücke (CVE-2022-31160). Obwohl die Hauptdatei der jQuery-Benutzeroberfläche in den letzten Patches aktualisiert wurde, wurden einige zusätzliche Dateien nicht aktualisiert. Um dieses Problem vollständig zu beheben, aktualisieren Sie auf den neuesten Sicherheits-Patch für Ihre Version und wenden Sie den entsprechenden Composer-Patch an, der in diesem Artikel bereitgestellt wird.

Beschreibung description

Betroffene Produkte und Versionen

Problem/Symptome

Es wurde eine Sicherheitslücke CVE-2022-31160 für die jQuery-UI-Bibliothek Version 1.13.1 gemeldet, die als Abhängigkeit in Adobe Commerce 2.4.4, 2.4.5 und 2.4.6 verwendet wird. Adobe sind keine Exploits für dieses Problem bekannt. Diese Sicherheitslücke wurde in der jQuery-UI-Bibliothek Version 1.13.2 behoben.

Im Juni 2023 veröffentlichte Adobe nur 2.4.6-p1-, 2.4.5-p3- und 2.4.4-p4-Sicherheits-Patches, bei denen die jQuery-UI-Bibliotheksabhängigkeit auf die neueste Version 1.13.2 aktualisiert wurde. Um eine vollständige Fehlerbehebung zu erhalten, müssen Sie jedoch einen der beiden Patches anwenden, die diesem Artikel beigefügt sind.

Die jQuery-UI-Hauptdatei wurde aktualisiert, aber es gab jQuery-UI-Zusatzmodule und Widget-Dateien, die nicht aktualisiert wurden. Wenn Sie Adobe Commerce 2.4.6-p1, 2.4.5-p3 und 2.4.4-p4 oder frühere Versionen verwenden, können Ihre Sicherheitsscanner weiterhin das Problem mit der jQuery-UI CVE feststellen.

Diesem Artikel sind zwei Patches beigefügt, eines für die Versionen 2.4.6 und 2.4.5 und eines für die Version 2.4.4, die ein vollständiges Upgrade der JQuery-UI-Bibliothek auf Version 1.13.2 ermöglichen.

Dieses Problem wird im Rahmen der Sicherheits-Patches 2.4.6-p3, 2.4.5-p5 oder 2.4.4-p6 der Version Oktober 2023 behoben.

Auflösung resolution

Lesen Sie So wenden Sie einen von Adobe bereitgestellten Composer-Patch an bevor Sie den entsprechenden Composer-Patch für die von Ihnen verwendete Version herunterladen:

Für die Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3:

Um diese Sicherheitslücke in den Versionen 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 und 2.4.5-p3 zu beheben, wenden Sie einen Composer-Patch an AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Für die Versionen 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4:

Um diese Sicherheitslücke auf den Patches 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 und 2.4.4 zu beheben, aktualisieren Sie auf die entsprechenden Patches 2.4.6-p2, 2.4.5-p4 oder 2.4.4-p5 „security-only“ und wenden Sie einen Composer-Patch an AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch oder Composer-Patch AC-9260_2.4.4-p5_2.4.4-p4.patch abhängig von Ihrer Adobe Commerce-Version.

Für die Versionen 2.4.4-p4 und 2.4.4-p5:

Um diese Sicherheitslücke in den Versionen 2.4.4-p4 und 2.4.4-p5 zu beheben, wenden Sie einen Composer-Patch an AC-9260_2.4.4-p5_2.4.4-p4.patch.