Correctif de sécurité Adobe Commerce 2.4.3-p2 - 2.4.5 pour CVE-2022-35698
Le 11 octobre 2022, Adobe a publié régulièrement les correctifs de sécurité 2.4.5-p1 et 2.4.4-p2 pour Adobe Commerce et Magento Open Source.
Parmi ces correctifs figure une mise à jour qui résout une vulnérabilité Cross-site Scripting (Stored XSS) (CWE-79) trackée par CVE-2022-35698 notée important.
Adobe n'est pas au courant d'exploits pour ce problème.
Dans cet article, vous trouverez des correctifs pour ce problème pour les versions antérieures d’Adobe Commerce et de Magento Open Source.
Produits et versions concernés
Adobe Commerce sur l’infrastructure cloud et sur site, et Magento Open Source :
- 2.4.5
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2.3.7-p3, 2.3.7-p4
- 2.4.3-p1 et versions antérieures à 2.4.3-p1 ne sont pas affectés si tous les correctifs de sécurité 2.4.x applicables sont appliqués (veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).
- 2.3.7-p2 et versions antérieures à 2.3.7-p2 ne sont pas affectés si tous les correctifs de sécurité 2.3.x applicables sont appliqués (veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).
Solution pour Adobe Commerce sur l’infrastructure cloud, sur site et Magento Open Source
Pour résoudre la vulnérabilité si vous utilisez Adobe Commerce sur l’infrastructure cloud et sur site, ou Magento Open Source, vous devez appliquer le correctif ACSD-47578.
Solution pour Adobe Commerce sur l’infrastructure cloud et les commerçants sur site sur les versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre d’assistance étendue
Adobe Commerce sur l’infrastructure cloud et les marchands sur site sur les versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre d’assistance étendue doivent appliquer le premier correctif de sécurité étendu de prise en charge 2.3.7 qui peut être téléchargé à partir du portail Marketplace dans la section My Account/Downloads .
Solution pour Adobe Commerce sur l’infrastructure cloud et les marchands sur site, qui ne participent pas au programme de prise en charge étendue, et les marchands Magento Open Sources sur les versions 2.3.7-p3 et 2.3.7-p4
Adobe Commerce sur l’infrastructure cloud et les marchands sur site, qui ne participent pas au programme de prise en charge étendue, et les marchands Magento Open Sources sur les versions 2.3.7-p3 et 2.3.7-p4 doivent effectuer la mise à niveau vers une version 2.4.x prise en charge.
Correctif
Utilisez les correctifs ci-joint suivants, en fonction de votre version d’Adobe Commerce/de Magento Open Source :
Pour les versions 2.4.4, 2.4.4-p1, 2.4.5 :
Pour les versions 2.4.3-p2, 2.4.3-p3 :
Comment appliquer le correctif
Décompressez le fichier et reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances de support pour obtenir des instructions.
Comment déterminer si les correctifs ont été appliqués
Étant donné qu’il n’est pas possible de vérifier facilement si le problème a été résolu, vous pouvez vérifier si le correctif ACSD-47578 a bien été appliqué.
Pour ce faire, procédez comme suit :
-
Exécutez la commande :
code language-bash vendor/bin/magento-patches -n status |grep "47578|Status" -
Vous devriez voir une sortie similaire à celle-ci, où ACSD-47578 renvoie l’état Appliqué :
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :