Adobe Commerce 2.4.3-p2 - 2.4.5 hotfix di sicurezza per CVE-2022-35698
L’11 ottobre 2022 Adobe ha rilasciato regolarmente patch di sicurezza pianificate 2.4.5-p1 e 2.4.4-p2 per Adobe Commerce e Magento Open Source.
Tra queste patch c'è un aggiornamento che risolve una vulnerabilità cross-site scripting (XSS archiviati) (CWE-79) tracciata da CVE-2022-35698 con valutazione important.
Adobe non è a conoscenza di alcun exploit per questo problema.
In questo articolo troverai patch di aggiornamento rapido per questo problema per le versioni precedenti di Adobe Commerce e Magento Open Source.
Descrizione description
Ambiente
Adobe Commerce su infrastruttura cloud e on-premise e Magento Open Source:
- 2.4.5.
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2,3,7-p3, 2,3,7-p4
- 2.4.3-p1 e versioni successive a 2.4.3-p1 non sono interessati se vengono applicati tutti gli hotfix di sicurezza 2.4.x applicabili (trovare l'elenco di tutti gli hotfix di sicurezza applicabili alla versione qui).
- 2.3.7-p2 e versioni successive a 2.3.7-p2 non sono interessate se vengono applicati tutti gli hotfix di sicurezza applicabili a 2.3.x (trovare l'elenco di tutti gli hotfix di sicurezza applicabili alla versione qui).
Risoluzione resolution
Soluzione per Adobe Commerce su infrastruttura cloud e on-premise, e Magento Open Source
Per risolvere la vulnerabilità, se utilizzi Adobe Commerce su infrastrutture cloud e on-premise oppure Magento Open Source, devi applicare la patch ACSD-47578.
Soluzione per Adobe Commerce su infrastruttura cloud e commercianti on-premise nelle versioni 2.3.7-p3 e 2.3.7-p4 che hanno acquistato il nostro programma di offerta di supporto esteso
Adobe Commerce su infrastruttura cloud e commercianti locali nelle versioni 2.3.7-p3 e 2.3.7-p4 che hanno acquistato il nostro programma di offerta di supporto esteso devono applicare la prima patch di sicurezza 2.3.7 per il supporto esteso che può essere scaricata dal portale Marketplace nella sezione Account/Download.
Soluzione per Adobe Commerce su infrastrutture cloud e commercianti locali, che non partecipano al programma di supporto esteso, e commercianti Magento Open Source sulle versioni 2.3.7-p3 e 2.3.7-p4
Adobe Commerce su infrastruttura cloud e commercianti locali, che non partecipano al programma di supporto esteso, e Magento Open Source merchants sulle versioni 2.3.7-p3 e 2.3.7-p4 devono effettuare l’aggiornamento a una versione 2.4.x supportata.
Patch
Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:
Per le versioni 2.4.4, 2.4.4-p1, 2.4.5:
Per le versioni 2.4.3-p2, 2.4.3-p3:
Come applicare il cerotto
Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.
Come stabilire se i cerotti sono stati applicati
Poiché non è possibile verificare facilmente se il problema è stato corretto, è possibile verificare se la patch ACSD-47578 è stata applicata correttamente.
Per eseguire questa operazione, procedere come segue:
- Installare lo strumento Patch di qualità.
- Esegui il comando:
vendor/bin/magento-patches -n status |grep "47578|Status" - Dovresti visualizzare un output simile a questo, in cui ACSD-47578 restituisce lo stato Applicato:
║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Aggiornamenti di sicurezza
Aggiornamenti di sicurezza disponibili per Adobe Commerce: