Correctif de vulnérabilité de sécurité de l’interface utilisateur JQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6

Les versions 2.4.4, 2.4.5 et 2.4.6 d’Adobe Commerce utilisent l’interface utilisateur jQuery 1.13.1, qui présente une vulnérabilité de sécurité connue (CVE-2022-31160). Bien que le fichier d’interface utilisateur jQuery principal ait été mis à jour dans des correctifs récents, certains fichiers supplémentaires ne l’ont pas été. Pour résoudre complètement ce problème, effectuez la mise à niveau vers le dernier correctif de sécurité pour votre version et appliquez le correctif compositeur approprié fourni dans cet article.

Description description

Produits et versions concernés

Problème/Symptômes

Il existe une vulnérabilité de sécurité CVE-2022-31160 signalée pour la bibliothèque jQuery-UI version 1.13.1 qui est utilisée comme dépendance dans Adobe Commerce 2.4.4, 2.4.5 et 2.4.6. Adobe n’a connaissance d’aucun exploit concernant ce problème. Cette vulnérabilité de sécurité a été corrigée dans la version 1.13.2 de la bibliothèque jQuery-UI.

En juin 2023, Adobe a publié des correctifs de sécurité uniquement 2.4.6-p1, 2.4.5-p3 et 2.4.4-p4 où la dépendance de la bibliothèque jQuery-UI a été mise à niveau vers la dernière version 1.13.2. Cependant, vous devez appliquer l’un des deux correctifs joints à cet article, pour un correctif complet.

Le fichier jQuery-UI principal a été mis à niveau, mais des fichiers de widget et de module supplémentaires jQuery-UI n’ont pas été mis à niveau. Si vous utilisez Adobe Commerce 2.4.6-p1, 2.4.5-p3 et 2.4.4-p4 ou des versions antérieures, vos analyseurs de sécurité peuvent toujours observer le problème de CVE jQuery-UI.

Deux correctifs sont joints à cet article, un pour les versions 2.4.6 et 2.4.5, et un autre pour les versions 2.4.4, qui fournissent une mise à niveau complète de la bibliothèque JQuery-UI vers la version 1.13.2.

Ce problème sera corrigé dans le cadre de la version d’octobre 2023 des correctifs de sécurité 2.4.6-p3, 2.4.5-p5 ou 2.4.4-p6.

Résolution resolution

Pour plus d'informations, consultez la section Comment appliquer un correctif compositeur fourni par Adobe avant de télécharger le correctif compositeur approprié pour la version dont vous disposez :

Pour les versions 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 et 2.4.5-p3 :

Pour résoudre cette vulnérabilité de sécurité sur les versions 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 et 2.4.5-p3, appliquez un correctif de compositeur AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Pour les versions 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 et 2.4.4:

Pour résoudre cette vulnérabilité de sécurité sur les correctifs de sécurité 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 et 2.4.4, effectuez une mise à niveau vers les correctifs de sécurité uniquement 2.4.6-p2, 2.4.5-p4 ou 2.4.4-p5 correspondants et appliquez un correctif de compositeur AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch ou correctif compositeur AC-9260_2.4.4-p5_2.4.4-p4.patch selon votre version d’Adobe Commerce.

Pour les versions 2.4.4-p4 et 2.4.4-p5 :

Pour résoudre cette vulnérabilité de sécurité sur les versions 2.4.4-p4 et 2.4.4-p5, appliquez un correctif de compositeur AC-9260_2.4.4-p5_2.4.4-p4.patch.