Adobe Commerce 2.4.3-p2 - 2.4.5 CVE-2022-35698 のセキュリティホットフィックス
2022 年 10 月 11 日(PT)に、Adobeは、Adobe CommerceおよびMagento Open Source用の定期的にスケジュールされたセキュリティパッチ 2.4.5-p1 および 2.4.4-p2 をリリースしました。
このパッチには、クロスサイトスクリプティング(ストアド XSS)を解決するアップデートが含まれています(CWE-79) CVE-2022-35698 が追跡する脆弱性 重要.
Adobeは、この問題に対する不正利用に気付いていません。
この記事では、以前のバージョンのAdobe CommerceとMagento Open Sourceに対するこの問題のホットフィックスパッチを見つけます。
影響を受ける製品とバージョン
クラウドインフラストラクチャー上のAdobe CommerceとオンプレミスおよびMagento Open Source:
- 2.4.5
- 2.4.4、2.4.4-p1
- 2.4.3-p2、2.4.3-p3
- 2.3.7-p3、2.3.7-p4
- 該当するすべての 2.4.x セキュリティ ホットフィックスが適用されている場合、2.4.3-p1 以前の 2.4.3-p1 は影響を受けません(お使いのバージョンに適用されるすべてのセキュリティ ホットフィックスのリストを確認してください こちら.).
- 該当するすべての 2.3.x セキュリティホットフィックスが適用されている場合、2.3.7-p2 以前 2.3.7-p2 は影響を受けません(お使いのバージョンに適用されるすべてのセキュリティホットフィックスのリストを確認してください こちら.).
クラウドインフラストラクチャー上のAdobe CommerceおよびオンプレミスとMagento Open Source向けのソリューション
Adobe Commerce on cloud infrastructure とオンプレミス、またはMagento Open Source上で作業している場合に脆弱性を解決するには、ACSD-47578 パッチを適用する必要があります。
Adobe Commerce on cloud infrastructure および 2.3.7-p3 および 2.3.7-p4 版のオンプレミスマーチャント向けのソリューションで、アドビの拡張サポート製品プログラムを購入したもの
Adobe Commerce on cloud infrastructure および 2.3.7-p3 および 2.3.7-p4 版のオンプレミスマーチャントで、拡張サポート提供プログラムを購入した場合、最初の拡張サポート 2.3.7 セキュリティパッチを適用する必要があります。これは、 Marketplace ポータル が含まれる My Account/Downloads
セクション。
拡張サポートプログラムに参加していないクラウドインフラストラクチャー上のAdobe Commerceマーチャントとオンプレミスのマーチャント、およびバージョン 2.3.7-p3 と 2.3.7-p4 のMagento Open Sourceマーチャントに対するソリューション
拡張サポートプログラムに参加していないクラウドインフラストラクチャー上のAdobe Commerceとオンプレミスのマーチャント、およびバージョン 2.3.7-p3 と 2.3.7-p4 のMagento Open Sourceマーチャント サポートされている 2.4.x バージョンにアップグレードする必要があります.
パッチ
Adobe CommerceまたはMagento Open Sourceのバージョンに応じて、次のパッチを添付して使用します。
バージョン 2.4.4、2.4.4-p1、2.4.5 の場合:
バージョン 2.4.3-p2、2.4.3-p3 の場合:
パッチの適用方法
ファイルを解凍し、以下を確認します Adobeが提供する composer パッチの適用方法 手順については、サポートナレッジベースを参照してください。
パッチが適用されているかどうかを知る方法
問題にパッチが適用されたかどうかを簡単に確認できないので、ACSD-47578 パッチが正常に適用されたかどうかを確認することをお勧めします。
これは、次の手順で実行できます:
-
次のコマンドを実行します。
code language-bash vendor/bin/magento-patches -n status |grep "47578|Status"
-
ACSD-47578 がを返す場合、次のような出力が表示されます 適用日 ステータス :
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
セキュリティの更新
Adobe Commerceで利用できるセキュリティ更新プログラム: