Adobe Commerce 2.4.3-p2 - 2.4.5 hotfix di sicurezza per CVE-2022-35698
L’11 ottobre 2022 Adobe ha rilasciato regolarmente patch di sicurezza pianificate 2.4.5-p1 e 2.4.4-p2 per Adobe Commerce e Magento Open Source.
Tra queste patch c'è un aggiornamento che risolve una vulnerabilità cross-site scripting (XSS archiviati) (CWE-79) tracciata da CVE-2022-35698 con valutazione important.
L’Adobe non è a conoscenza di alcun exploit per questo problema.
In questo articolo troverai patch di aggiornamento rapido per questo problema per le versioni precedenti di Adobe Commerce e Magento Open Source.
Prodotti e versioni interessati
Adobe Commerce su infrastruttura cloud e on-premise e Magento Open Source:
- 2.4.5.
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2,3,7-p3, 2,3,7-p4
- 2.4.3-p1 e versioni successive a 2.4.3-p1 non sono interessati se vengono applicati tutti gli hotfix di sicurezza 2.4.x applicabili (trovare l'elenco di tutti gli hotfix di sicurezza applicabili alla versione qui.).
- 2.3.7-p2 e versioni successive a 2.3.7-p2 non sono interessate se vengono applicati tutti gli hotfix di sicurezza applicabili a 2.3.x (trovare l'elenco di tutti gli hotfix di sicurezza applicabili alla versione qui.).
Soluzione per Adobe Commerce su infrastruttura cloud, on-premise e Magento Open Source
Per risolvere la vulnerabilità se utilizzi Adobe Commerce su infrastrutture cloud e on-premise o Magento Open Source, devi applicare la patch ACSD-47578.
Soluzione per Adobe Commerce su infrastruttura cloud e commercianti on-premise nelle versioni 2.3.7-p3 e 2.3.7-p4 che hanno acquistato il nostro programma di offerta di supporto esteso
Adobe Commerce su infrastruttura cloud e commercianti locali nelle versioni 2.3.7-p3 e 2.3.7-p4 che hanno acquistato il nostro programma di offerta di supporto esteso devono applicare la prima patch di sicurezza 2.3.7 per il supporto esteso che può essere scaricata dal portale Marketplace nella sezione My Account/Downloads
.
Soluzione per Adobe Commerce su infrastrutture cloud e commercianti locali, che non partecipano al programma di supporto esteso, e commercianti di Magento Open Source sulle versioni 2.3.7-p3 e 2.3.7-p4
Adobe Commerce su infrastruttura cloud e commercianti locali, che non partecipano al programma di supporto esteso, e commercianti di Magento Open Source sulle versioni 2.3.7-p3 e 2.3.7-p4 devono effettuare l'aggiornamento a una versione 2.4.x supportata.
Patch
Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:
Per le versioni 2.4.4, 2.4.4-p1, 2.4.5:
Per le versioni 2.4.3-p2, 2.4.3-p3:
Come applicare il cerotto
Decomprimi il file e vedi Come applicare una patch del compositore fornita dall'Adobe nella Knowledge Base di supporto per le istruzioni.
Come stabilire se i cerotti sono stati applicati
Poiché non è possibile verificare facilmente se il problema è stato corretto, è possibile verificare se la patch ACSD-47578 è stata applicata correttamente.
A tale scopo, procedere come segue:
-
Esegui il comando:
code language-bash vendor/bin/magento-patches -n status |grep "47578|Status"
-
Dovresti visualizzare un output simile a questo, in cui ACSD-47578 restituisce lo stato Applicato:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Aggiornamenti di sicurezza
Aggiornamenti di sicurezza disponibili per Adobe Commerce: