Adobe Commerce 2.4.3-p2 - 2.4.5 CVE-2022-35698 のセキュリティホットフィックス

2022 年 10 月 11 日（PT）に、Adobeは、Adobe CommerceおよびMagento Open Source用の定期的にスケジュールされたセキュリティパッチ 2.4.5-p1 および 2.4.4-p2 をリリースしました。

これらのパッチには、CVE-2022-35698 が追跡したクロスサイトスクリプティング（ストアド XSS）（CWE-79）の脆弱性（重要 🔗 と評価されている を解決するアップデートが含まれています。

Adobeは、この問題に対する不正利用に気付いていません。

この記事では、以前のバージョンのAdobe CommerceとMagento Open Sourceに対するこの問題のホットフィックスパッチを見つけます。

影響を受ける製品とバージョン

クラウドインフラストラクチャー上のAdobe CommerceとオンプレミスおよびMagento Open Source:

クラウドインフラストラクチャー上のAdobe CommerceおよびオンプレミスとMagento Open Source向けのソリューション

Adobe Commerce on cloud infrastructure とオンプレミス、またはMagento Open Source上で作業している場合に脆弱性を解決するには、ACSD-47578 パッチを適用する必要があります。

Adobe Commerce on cloud infrastructure および 2.3.7-p3 および 2.3.7-p4 版のオンプレミスマーチャント向けのソリューションで、アドビの拡張サポート製品プログラムを購入したもの

拡張サポート提供プログラムを購入した 2.3.7-p3 および 2.3.7-p4 バージョンのAdobe Commerce on cloud infrastructure およびオンプレミスのマーチャントは、最初の拡張サポート 2.3.7 セキュリティパッチを適用する必要があります。これは、My Account/Downloads の節の マーケットプレイスのポータルからダウンロードできます。

拡張サポートプログラムに参加していないクラウドインフラストラクチャー上のAdobe Commerceマーチャントとオンプレミスのマーチャント、およびバージョン 2.3.7-p3 と 2.3.7-p4 のMagento Open Sourceマーチャントに対するソリューション

拡張サポートプログラムに参加していないAdobe Commerce on cloud infrastructure およびオンプレミスのマーチャント、およびバージョン 2.3.7-p3 と 2.3.7-p4 のMagento Open Sourceマーチャントは、サポートされている 2.4.x バージョンにアップグレードする必要があります。

パッチ

Adobe CommerceまたはMagento Open Sourceのバージョンに応じて、次のパッチを添付して使用します。

バージョン 2.4.4、2.4.4-p1、2.4.5 の場合：

バージョン 2.4.3-p2、2.4.3-p3 の場合：

パッチの適用方法

ファイルを解凍し、サポートナレッジベースで Adobe提供の Composer パッチの適用方法を参照して手順を確認します。

パッチが適用されているかどうかを知る方法

問題にパッチが適用されたかどうかを簡単に確認できないので、ACSD-47578 パッチが正常に適用されたかどうかを確認することをお勧めします。

これは、次の手順で実行できます 。

セキュリティの更新

Adobe Commerceで利用できるセキュリティ更新プログラム：