Correctif de vulnérabilité de sécurité de l’interface utilisateur de JQuery CVE-2022-31160 pour les versions 2.4.4, 2.4.5 et 2.4.6

Une vulnérabilité de sécurité CVE-2022-31160 a été signalée pour la version 1.13.1 de la bibliothèque jQuery-UI utilisée comme dépendance dans Adobe Commerce 2.4.4, 2.4.5 et 2.4.6. Adobe n'est pas au courant d'exploits pour ce problème. Cette vulnérabilité de sécurité a été corrigée dans la version 1.13.2 de la bibliothèque jQuery-UI.

En juin 2023, Adobe a publié les correctifs de sécurité 2.4.6-p1, 2.4.5-p3 et 2.4.4-p4 uniquement où la dépendance de bibliothèque jQuery-UI a été mise à niveau vers la dernière version 1.13.2. Cependant, vous devez appliquer l’un des deux correctifs joints à cet article, pour un correctif complet.

Le fichier jQuery-UI principal a été mis à niveau, mais jQuery-UI modules supplémentaires et fichiers de widget n’ont pas été mis à niveau. Si vous utilisez Adobe Commerce 2.4.6-p1, 2.4.5-p3 et 2.4.4-p4 ou des versions antérieures, vos analyseurs de sécurité peuvent toujours observer le problème de CVE jQuery-UI.

Vous trouverez ci-joint deux correctifs, l’un pour les versions 2.4.6 et 2.4.5, et l’autre pour les versions 2.4.4, qui fournissent une mise à niveau complète de la bibliothèque JQuery-UI vers la version 1.13.2.

Ce problème va être corrigé dans le cadre des correctifs de sécurité de la version 2.4.6-p3, 2.4.5-p5 ou 2.4.4-p6 d’octobre 2023.

Produits et versions concernés

Solution

Reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe avant de télécharger le correctif de compositeur approprié pour la version que vous possédez :

Pour les versions 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 et 2.4.5-p3 :

Pour résoudre cette vulnérabilité de sécurité sur les versions 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 et 2.4.5-p3, appliquez un correctif de compositeur AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4-p3.1}.

Pour les versions 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 et 2.4.4-p1 :

Pour résoudre cette vulnérabilité de sécurité sur 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 et 2.4.4, effectuez une mise à niveau vers les 2.4.6-p2, 2.4.5-p4 ou 2.4-p5. correctifs de sécurité uniquement et appliquez un correctif de compositeur AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch ou correctif de compositeur AC-9260_2.4.4-p5_2.4.4-p4.3} selon votre version d’Adobe Commerce.

Pour les versions 2.4.4-p4 et 2.4.4-p5 :

Pour résoudre cette vulnérabilité de sécurité sur les versions 2.4.4-p4 et 2.4.4-p5, appliquez un correctif de compositeur AC-9260_2.4.4-p5_2.4.4-p4.patch.