DocumentazioneCommerceKnowledge base di Commerce

Vulnerabilità della sicurezza dell'interfaccia utente di JQuery CVE-2022-31160 corretta per le versioni 2.4.4, 2.4.5 e 2.4.6

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Sviluppatore

È stata segnalata una vulnerabilità di sicurezza CVE-2022-31160 per la libreria jQuery-UI versione 1.13.1 che viene utilizzata come dipendenza in Adobe Commerce 2.4.4, 2.4.5 e 2.4.6. L’Adobe non è a conoscenza di alcun exploit per questo problema. Questa vulnerabilità di sicurezza è stata risolta nella versione 1.13.2 della libreria jQuery-UI.

Nel giugno 2023 Adobe ha rilasciato patch di sola sicurezza 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 in cui la dipendenza della libreria jQuery-UI è stata aggiornata alla versione 1.13.2 più recente. Tuttavia, per una correzione completa, è necessario applicare una delle due patch associate a questo articolo.

Il file jQuery-UI principale è stato aggiornato, ma sono presenti jQuery-UI file di modulo supplementare e widget che non sono stati aggiornati. Se si utilizza Adobe Commerce 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 o versioni precedenti, gli scanner di sicurezza potrebbero comunque osservare il problema di CVE jQuery-UI.

In allegato a questo articolo sono presenti due patch, una per le versioni 2.4.6 e 2.4.5 e un'altra per le versioni 2.4.4, che forniscono l'aggiornamento completo della libreria JQuery-UI alla versione 1.13.2.

Questo problema verrà risolto nell’ambito delle patch di sicurezza del rilascio di ottobre 2023 2.4.6-p3, 2.4.5-p5 o 2.4.4-p6.

Prodotti e versioni interessati

  • Adobe Commerce, on-premise e Magento Open Source:

    • 2.4.4.
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5.
    • 2,4,5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2,4,5-p4
    • 2.4.6.
    • 2.4.6-p1
    • 2.4.6-p2

Soluzione

Consulta Come applicare una patch del compositore fornita dall'Adobe prima di scaricare la patch del Compositore appropriata per la versione disponibile:

Per le versioni 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3:

Per risolvere questa vulnerabilità di sicurezza nelle versioni 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3, applicare una patch del compositore AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Per le versioni 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4:

Per risolvere questa vulnerabilità di sicurezza in 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4, eseguire l'aggiornamento alle corrispondenti patch di sicurezza 2.4.6-p2, 2.4.5-p4 o 2.4.4-p5 e applicare una patch del compositore AC-9260_2.4.6-p2_2.4.6-p1_2.4.5 2.4.5-p3.patch o la patch del compositore AC-9260_2.4.4-p5_2.4.4-p4.patch a seconda della versione di Adobe Commerce in uso.

Per le versioni 2.4.4-p4 e 2.4.4-p5:

Per risolvere questa vulnerabilità di sicurezza nelle versioni 2.4.4-p4 e 2.4.4-p5, applicare una patch del compositore AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a