Correctif de sécurité Adobe Commerce 2.4.3-p2 - 2.4.5 pour CVE-2022-35698

Le 11 octobre 2022, Adobe a publié régulièrement les correctifs de sécurité 2.4.5-p1 et 2.4.4-p2 pour Adobe Commerce et Magento Open Source.

Parmi ces correctifs figure une mise à jour qui résout une vulnérabilité Cross-site Scripting (Stored XSS) (CWE-79) trackée par CVE-2022-35698 notée important.

Adobe n'est pas au courant d'exploits pour ce problème.

Dans cet article, vous trouverez des correctifs pour ce problème pour les versions antérieures d’Adobe Commerce et de Magento Open Source.

Produits et versions concernés

Adobe Commerce sur l’infrastructure cloud et sur site, et Magento Open Source :

  • 2.4.5
  • 2.4.4, 2.4.4-p1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • 2.4.3-p1 et versions antérieures à 2.4.3-p1 ne sont pas affectés si tous les correctifs de sécurité 2.4.x applicables sont appliqués (veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).
  • 2.3.7-p2 et versions antérieures à 2.3.7-p2 ne sont pas affectés si tous les correctifs de sécurité 2.3.x applicables sont appliqués (veuillez trouver la liste de tous les correctifs de sécurité applicables pour votre version ici).

Solution pour Adobe Commerce sur l’infrastructure cloud, sur site et Magento Open Source

Pour résoudre la vulnérabilité si vous utilisez Adobe Commerce sur l’infrastructure cloud et sur site, ou Magento Open Source, vous devez appliquer le correctif ACSD-47578.

Solution pour Adobe Commerce sur l’infrastructure cloud et les commerçants sur site sur les versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre d’assistance étendue

Adobe Commerce sur l’infrastructure cloud et les marchands sur site sur les versions 2.3.7-p3 et 2.3.7-p4 qui ont acheté notre programme d’offre d’assistance étendue doivent appliquer le premier correctif de sécurité étendu de prise en charge 2.3.7 qui peut être téléchargé à partir du portail Marketplace dans la section My Account/Downloads .

Solution pour Adobe Commerce sur l’infrastructure cloud et les marchands sur site, qui ne participent pas au programme de prise en charge étendue, et les marchands Magento Open Sources sur les versions 2.3.7-p3 et 2.3.7-p4

Adobe Commerce sur l’infrastructure cloud et les marchands sur site, qui ne participent pas au programme de prise en charge étendue, et les marchands Magento Open Sources sur les versions 2.3.7-p3 et 2.3.7-p4 doivent effectuer la mise à niveau vers une version 2.4.x prise en charge.

Correctif

Utilisez les correctifs ci-joint suivants, en fonction de votre version d’Adobe Commerce/de Magento Open Source :

Pour les versions 2.4.4, 2.4.4-p1, 2.4.5 :

Pour les versions 2.4.3-p2, 2.4.3-p3 :

Comment appliquer le correctif

Décompressez le fichier et reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances de support pour obtenir des instructions.

Comment déterminer si les correctifs ont été appliqués

Étant donné qu’il n’est pas possible de vérifier facilement si le problème a été résolu, vous pouvez vérifier si le correctif ACSD-47578 a bien été appliqué.

Pour ce faire, procédez comme suit :

  1. Installation de l’outil de correctifs de qualité.

  2. Exécutez la commande :

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. Vous devriez voir une sortie similaire à celle-ci, où ACSD-47578 renvoie l’état Appliqué :

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Mises à jour de sécurité

Mises à jour de sécurité disponibles pour Adobe Commerce :

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a