Correzione di vulnerabilità di sicurezza dell’interfaccia utente JQuery CVE-2022-31160 per le versioni 2.4.4, 2.4.5 e 2.4.6

Le versioni 2.4.4, 2.4.5 e 2.4.6 di Adobe Commerce utilizzano l’interfaccia utente jQuery 1.13.1, che presenta una vulnerabilità di sicurezza nota (CVE-2022-31160). Anche se il file principale dell’interfaccia utente jQuery è stato aggiornato con patch recenti, alcuni file supplementari non lo erano. Per risolvere completamente questo problema, eseguire l'aggiornamento alla patch di sicurezza più recente per la versione in uso e applicare la patch del compositore appropriata fornita in questo articolo.

Descrizione description

Prodotti e versioni interessati

Problema/Sintomi

È stata segnalata una vulnerabilità di sicurezza CVE-2022-31160 per la libreria jQuery-UI versione 1.13.1 che viene utilizzata come dipendenza in Adobe Commerce 2.4.4, 2.4.5 e 2.4.6. Adobe non è a conoscenza di alcun exploit per questo problema. Questa vulnerabilità di sicurezza è stata risolta nella versione 1.13.2 della libreria jQuery-UI.

A giugno 2023 Adobe ha rilasciato patch di sicurezza 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 in cui la dipendenza della libreria jQuery-UI è stata aggiornata alla versione 1.13.2 più recente. Tuttavia, per una correzione completa, è necessario applicare una delle due patch associate a questo articolo.

Il file jQuery-UI principale è stato aggiornato, ma erano presenti moduli supplementari jQuery-UI e file widget che non erano stati aggiornati. Se utilizzi Adobe Commerce 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 o versioni precedenti, gli scanner di sicurezza potrebbero comunque osservare il problema di CVE jQuery-UI.

In allegato a questo articolo sono presenti due patch, una per le versioni 2.4.6 e 2.4.5 e un’altra per le versioni 2.4.4, che forniscono l’aggiornamento completo della libreria JQuery-UI alla versione 1.13.2.

Questo problema verrà risolto nell’ambito delle patch di sicurezza del rilascio di ottobre 2023 2.4.6-p3, 2.4.5-p5 o 2.4.4-p6.

Risoluzione resolution

Consulta Come applicare una patch del compositore fornita da Adobe prima di scaricare la patch del Compositore appropriata per la versione disponibile:

Per le versioni 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3:

Per risolvere questa vulnerabilità di sicurezza nelle versioni 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3, applicare una patch del compositore AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Per le versioni 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4:

Per risolvere questa vulnerabilità di sicurezza nelle patch di sicurezza 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4, eseguire l'aggiornamento alle corrispondenti patch di sicurezza 2.4.6-p2, 2.4.5-p4 o 2.4.4-p5 e applicare una patch del compositore AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch o patch del compositore AC-9260_2.4.4-p5_2.4.4-p4.patch a seconda della versione di Adobe Commerce in uso.

Per le versioni 2.4.4-p4 e 2.4.4-p5:

Per risolvere questa vulnerabilità di sicurezza nelle versioni 2.4.4-p4 e 2.4.4-p5, applicare una patch del compositore AC-9260_2.4.4-p5_2.4.4-p4.patch.