Adobe Commerce 2.4.3-p2: revisión de seguridad 2.4.5 para CVE-2022-35698
El 11 de octubre de 2022, Adobe lanzó parches de seguridad programados regularmente 2.4.5-p1 y 2.4.4-p2 para Adobe Commerce y Magento Open Source.
Entre estos parches se encuentra una actualización que resuelve una vulnerabilidad de ejecución de scripts en sitios múltiples (XSS almacenado) (CWE-79) rastreada por CVE-2022-35698 con clasificación important.
Adobe no tiene conocimiento de ninguna explotación por este problema.
En este artículo encontrará revisiones para este problema para las versiones anteriores de Adobe Commerce y Magento Open Source.
Descripción description
Entorno
Adobe Commerce en la infraestructura en la nube y local, y Magento Open Source:
- 2.4.5
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2.3.7-p3, 2.3.7-p4
- 2.4.3-p1 e inferior a 2.4.3-p1 no se ven afectados si se aplican todas las revisiones de seguridad 2.4.x aplicables (Encuentre la lista de todas las revisiones de seguridad aplicables a su versión aquí).
- 2.3.7-p2 e inferior a 2.3.7-p2 no se ven afectados si se aplican todas las revisiones de seguridad 2.3.x aplicables (Encuentre la lista de todas las revisiones de seguridad aplicables a su versión aquí).
Resolución resolution
Solución para Adobe Commerce en infraestructura en la nube y local, y Magento Open Source
Para resolver la vulnerabilidad si está en Adobe Commerce en una infraestructura en la nube y en línea, o en Magento Open Source, debe aplicar el parche ACSD-47578.
Solución para Adobe Commerce en infraestructura en la nube y comerciantes locales en las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado
Adobe Commerce en la infraestructura en la nube y los comerciantes locales de las versiones 2.3.7-p3 y 2.3.7-p4 que adquirieron nuestro programa de oferta de soporte ampliado debe aplicar el primer parche de seguridad de soporte extendido 2.3.7 que se pueda descargar desde el Portal de Marketplace en la sección Mi cuenta/Descargas.
Solución para Adobe Commerce en infraestructuras en la nube y comerciantes locales, que no participan en el programa de soporte ampliado, y comerciantes de Magento Open Source en las versiones 2.3.7-p3 y 2.3.7-p4
Los comerciantes de Adobe Commerce en la infraestructura en la nube y locales, que no participan en el programa de soporte ampliado, y los comerciantes de Magento Open Source en las versiones 2.3.7-p3 y 2.3.7-p4 deben actualizar a una versión compatible de 2.4.x.
Parche
Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:
Para las versiones 2.4.4, 2.4.4-p1, 2.4.5:
Para las versiones 2.4.3-p2, 2.4.3-p3:
Cómo aplicar el parche
Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.
Cómo saber si se han aplicado los parches
Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si el parche ACSD-47578 se ha aplicado correctamente.
Para ello, siga los siguientes pasos:
- Instale la herramienta Parches de calidad.
- Ejecute el comando:
vendor/bin/magento-patches -n status |grep "47578|Status" - Debería ver una salida similar a esta, donde ACSD-47578 devuelve el estado Aplicado:
║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Actualizaciones de seguridad
Actualizaciones de seguridad disponibles para Adobe Commerce: