Correctif de sécurité Adobe Commerce 2.4.3-p2 - 2.4.5 pour CVE-2022-35698
Le 11 octobre 2022, Adobe a publié régulièrement les correctifs de sécurité planifiés 2.4.5-p1 et 2.4.4-p2 pour Adobe Commerce et Magento Open Source.
Parmi ces correctifs se trouve une mise à jour qui résout une vulnérabilité de type Cross-site Scripting (Stored XSS) (CWE-79) suivie par CVE-2022-35698 évaluée importante.
Adobe n’a connaissance d’aucun exploit concernant ce problème.
Dans cet article, vous trouverez des correctifs pour ce problème pour les versions antérieures d’Adobe Commerce et de Magento Open Source.
Description description
Environnement
Adobe Commerce sur les infrastructures cloud et On-Premise et Magento Open Source :
- 2,4,5
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2.3.7-p3, 2.3.7-p4
- Les versions 2.4.3-p1 et inférieures à 2.4.3-p1 ne sont pas affectées si tous les correctifs de sécurité 2.4.x applicables sont appliqués (Veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).
- Les versions 2.3.7-p2 et inférieures à 2.3.7-p2 ne sont pas affectées si tous les correctifs de sécurité 2.3.x applicables sont appliqués (Veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).
Résolution resolution
Solution pour Adobe Commerce sur les infrastructures cloud et sur site, et Magento Open Source
Pour résoudre la vulnérabilité si vous êtes sur Adobe Commerce sur une infrastructure cloud et sur site, ou Magento Open Source, vous devez appliquer le correctif ACSD-47578.
Solution pour Adobe Commerce sur les infrastructures cloud et les commerçants sur site sur les versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre d’assistance étendue
Adobe Commerce sur les infrastructures cloud et les commerçants locaux disposant des versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre de support étendu doivent appliquer le premier correctif de sécurité 2.3.7 de support étendu qui peut être téléchargé à partir du portail Marketplace dans la section Mon compte/Téléchargements.
Solution pour Adobe Commerce sur les infrastructures cloud et les commerçants sur site, qui ne participent pas au programme de support étendu, et les commerçants Magento Open Source sur les versions 2.3.7-p3 et 2.3.7-p4
Adobe Commerce sur les infrastructures cloud et les commerçants sur site, qui ne participent pas au programme de prise en charge étendue, et les commerçants Magento Open Source sur les versions 2.3.7-p3 et 2.3.7-p4 doivent effectuer la mise à niveau vers une version 2.4.x prise en charge.
Patch
Utilisez les correctifs ci-joints, en fonction de votre version d’Adobe Commerce/Magento Open Source :
Pour les versions 2.4.4, 2.4.4-p1 et 2.4.5 :
Pour les versions 2.4.3-p2 et 2.4.3-p3 :
Application du correctif
Décompressez le fichier et consultez Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances d’assistance pour obtenir des instructions.
Comment déterminer si les patchs ont été appliqués
Comme il n’est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif ACSD-47578 a bien été appliqué.
Pour ce faire, procédez comme suit :
- Installez l’outil de correctifs de qualité.
- Exécutez la commande :
vendor/bin/magento-patches -n status |grep "47578|Status" - Vous devriez voir une sortie similaire à celle-ci, où ACSD-47578 renvoie le statut Appliqué :
║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :