Adobe Commerce 2.4.3-p2: revisión de seguridad 2.4.5 para CVE-2022-35698

El 11 de octubre de 2022, Adobe lanzó regularmente los parches de seguridad programados 2.4.5-p1 y 2.4.4-p2 para Adobe Commerce y Magento Open Source.

Entre estos parches hay una actualización que resuelve una ejecución de scripts en sitios múltiples (XSS almacenado) (CWE-79) vulnerabilidad rastreada por CVE-2022-35698 clasificada importante.

El Adobe no tiene conocimiento de ninguna explotación para este problema.

En este artículo encontrará revisiones para este problema para las versiones anteriores de Adobe Commerce y Magento Open Source.

Productos y versiones afectados

Adobe Commerce en infraestructura en la nube y local, y Magento Open Source:

  • 2.4.5
  • 2.4.4, 2.4.4-p1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • 2.4.3-p1 y las siguientes 2.4.3-p1 no se ven afectadas si se aplican todas las revisiones de seguridad 2.4.x aplicables (consulte la lista de todas las revisiones de seguridad aplicables a su versión aquí.).
  • 2.3.7-p2 e inferior a 2.3.7-p2 no se ven afectados si se aplican todas las revisiones de seguridad 2.3.x aplicables (Encuentre la lista de todas las revisiones de seguridad aplicables a su versión aquí.).

Solución para Adobe Commerce en infraestructura en la nube y local, y Magento Open Source

Para resolver la vulnerabilidad si está en Adobe Commerce en una infraestructura en la nube y en línea, o en Magento Open Source, debe aplicar el parche ACSD-47578.

Solución para Adobe Commerce en infraestructura en la nube y comerciantes locales en las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado

Adobe Commerce en la infraestructura en la nube y comerciantes locales en las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado debe aplicar el primer parche de seguridad de soporte extendido 2.3.7 que se pueda descargar desde el Portal de Marketplace en el My Account/Downloads sección.

Solución para Adobe Commerce en infraestructuras en la nube y comerciantes locales, que no participan en el programa de soporte ampliado, y comerciantes Magento Open Source en las versiones 2.3.7-p3 y 2.3.7-p4

Adobe Commerce en la infraestructura en la nube y comerciantes locales, que no participan en el programa de soporte ampliado, y comerciantes Magento Open Source en las versiones 2.3.7-p3 y 2.3.7-p4 debe actualizar a una versión 2.4.x compatible.

Parche

Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:

Para las versiones 2.4.4, 2.4.4-p1, 2.4.5:

Para las versiones 2.4.3-p2, 2.4.3-p3:

Cómo aplicar el parche

Descomprima el archivo y consulte Cómo aplicar un parche del compositor proporcionado por el Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Cómo saber si se han aplicado los parches

Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si el parche ACSD-47578 se ha aplicado correctamente.

Para ello, siga los siguientes pasos:

  1. Instalación de la herramienta Parches de calidad.

  2. Ejecute el comando:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. Debería ver una salida similar a esta, donde ACSD-47578 devuelve el  Aplicado  estado:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a