Adobe Commerce 2.4.3-p2: revisión de seguridad 2.4.5 para CVE-2022-35698

El 11 de octubre de 2022, Adobe lanzó regularmente los parches de seguridad programados 2.4.5-p1 y 2.4.4-p2 para Adobe Commerce y Magento Open Source.

Entre estos parches se encuentra una actualización que resuelve una vulnerabilidad de ejecución de scripts en sitios múltiples (XSS almacenado) (CWE-79) rastreada por CVE-2022-35698 con clasificación important.

El Adobe no tiene conocimiento de ninguna explotación para este problema.

En este artículo encontrará revisiones para este problema para las versiones anteriores de Adobe Commerce y Magento Open Source.

Productos y versiones afectados

Adobe Commerce en infraestructura en la nube y local, y Magento Open Source:

  • 2.4.5
  • 2.4.4, 2.4.4-p1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • 2.4.3-p1 e inferior a 2.4.3-p1 no se ven afectados si se aplican todas las revisiones de seguridad 2.4.x aplicables (busque la lista de todas las revisiones de seguridad aplicables a su versión aquí).
  • 2.3.7-p2 e inferior a 2.3.7-p2 no se ven afectados si se aplican todas las revisiones de seguridad 2.3.x aplicables (Encuentre la lista de todas las revisiones de seguridad aplicables a su versión aquí).

Solución para Adobe Commerce en infraestructura en la nube y local, y Magento Open Source

Para resolver la vulnerabilidad si está en Adobe Commerce en una infraestructura en la nube y en línea, o en Magento Open Source, debe aplicar el parche ACSD-47578.

Solución para Adobe Commerce en infraestructura en la nube y comerciantes locales en las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado

Adobe Commerce en la infraestructura en la nube y los comerciantes locales de las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado debe aplicar el primer parche de seguridad de soporte extendido 2.3.7 que se pueda descargar desde el Portal de Marketplace en la sección My Account/Downloads.

Solución para Adobe Commerce en infraestructuras en la nube y comerciantes locales, que no participan en el programa de soporte ampliado, y comerciantes Magento Open Source en las versiones 2.3.7-p3 y 2.3.7-p4

Los comerciantes locales y de infraestructura en la nube de Adobe Commerce que no participen en el programa de soporte ampliado y los comerciantes Magento Open Source de las versiones 2.3.7-p3 y 2.3.7-p4 deben actualizar a una versión compatible de 2.4.x.

Parche

Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:

Para las versiones 2.4.4, 2.4.4-p1, 2.4.5:

Para las versiones 2.4.3-p2, 2.4.3-p3:

Cómo aplicar el parche

Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por el Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Cómo saber si se han aplicado los parches

Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si el parche ACSD-47578 se ha aplicado correctamente.

Para ello, siga los siguientes pasos:

  1. Instalar la herramienta Parches de calidad.

  2. Ejecute el comando:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. Debería ver una salida similar a esta, donde ACSD-47578 devuelve el estado Aplicado:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a