Vulnerabilidad de seguridad de la IU de JQuery CVE-2022-31160 corregida para las versiones 2.4.4, 2.4.5 y 2.4.6

Las versiones 2.4.4, 2.4.5 y 2.4.6 de Adobe Commerce utilizan la interfaz de usuario 1.13.1 de jQuery, que tiene una vulnerabilidad de seguridad conocida (CVE-2022-31160). Aunque el archivo principal de la interfaz de usuario de jQuery se ha actualizado en parches recientes, algunos archivos suplementarios no lo estaban. Para resolver este problema por completo, actualice a la última revisión de seguridad de su versión y aplique la revisión del compositor correspondiente que se proporciona en este artículo.

Descripción description

Productos y versiones afectados

Problema/Síntomas

Se ha notificado una vulnerabilidad de seguridad CVE-2022-31160 para la versión 1.13.1 de la biblioteca jQuery-UI, que se usa como dependencia en Adobe Commerce 2.4.4, 2.4.5 y 2.4.6. Adobe no tiene conocimiento de ninguna explotación por este problema. Esta vulnerabilidad de seguridad se ha corregido en la versión 1.13.2 de la biblioteca jQuery-UI.

En junio de 2023, Adobe lanzó parches de solo seguridad 2.4.6-p1, 2.4.5-p3 y 2.4.4-p4, donde la dependencia de biblioteca de jQuery-UI se actualizó a la última versión 1.13.2. Sin embargo, debe aplicar uno de los dos parches adjuntos a este artículo para obtener una corrección completa.

El archivo principal de jQuery-UI se actualizó, pero había archivos de módulos y widgets suplementarios de jQuery-UI que no se actualizaron. Si utiliza Adobe Commerce 2.4.6-p1, 2.4.5-p3 y 2.4.4-p4 o versiones anteriores, es posible que los analizadores de seguridad sigan observando el problema de CVE de jQuery-UI.

A este artículo se adjuntan dos parches, uno para las versiones 2.4.6 y 2.4.5, y otro para las versiones 2.4.4, que proporcionan una actualización completa de la biblioteca JQuery-UI a la versión 1.13.2.

Este problema se solucionará en la versión de octubre de 2023 de los parches de seguridad 2.4.6-p3, 2.4.5-p5 o 2.4.4-p6.

Resolución resolution

Consulte Cómo aplicar un parche del Compositor proporcionado por Adobe antes de descargar el parche del Compositor apropiado para la versión que tiene:

Para las versiones 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 y 2.4.5-p3:

Para resolver esta vulnerabilidad de seguridad en las versiones 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 y 2.4.5-p3, aplique un parche del compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Para las versiones 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 y 2.4.4:

Para resolver esta vulnerabilidad de seguridad en 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 y 2.4.4, actualice a los parches de seguridad correspondientes de 2.4.6-p2, 2.4.5-p4 o 2.4.4-p5 y aplique un parche de compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch o parche del compositor AC-9260_2.4.4-p5_2.4.4-p4.patch según su versión de Adobe Commerce.

Para las versiones 2.4.4-p4 y 2.4.4-p5:

Para resolver esta vulnerabilidad de seguridad en las versiones 2.4.4-p4 y 2.4.4-p5, aplique un parche del compositor AC-9260_2.4.4-p5_2.4.4-p4.patch.