JQuery UIのセキュリティ脆弱性CVE-2022-31160 2.4.4、2.4.5、および2.4.6 リリースの修正

Adobe Commerce バージョン 2.4.4、2.4.5、および2.4.6では、既知のセキュリティ脆弱性(CVE-2022-31160)を持つjQuery UI 1.13.1を使用しています。 主要なjQuery UI ファイルは最近のパッチで更新されましたが、一部の補足ファイルはそうではありませんでした。 この問題を完全に解決するには、お使いのバージョンの最新のセキュリティパッチにアップグレードし、この記事に記載されている適切なコンポーザーパッチを適用してください。

説明 description

影響を受ける製品とバージョン

  • Adobe Commerce、オンプレミス、Magento Open Source:

    • 2.4.4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2.4.6
    • 2.4.6-p1
    • 2.4.6-p2

問題/症状

jQuery-UI ライブラリバージョン 1.13.1に関して、Adobe Commerce 2.4.4、2.4.5、および2.4.6で依存関係として使用されるセキュリティ上の脆弱性CVE-2022-31160が報告されています。 Adobeは、この問題に対するエクスプロイトを認識していません。 このセキュリティ脆弱性は、jQuery-UI ライブラリバージョン 1.13.2で修正されました。

2023年6月、Adobeは2.4.6-p1、2.4.5-p3、および2.4.4-p4のセキュリティ専用パッチをリリースしました。このパッチでは、jQuery-UI ライブラリの依存関係が最新の1.13.2 バージョンにアップグレードされました。 ただし、完全な修正を行うには、この記事に添付されている2つのパッチのうち1つを適用する必要があります。

メインのjQuery-UI ファイルはアップグレードされましたが、jQuery-UI補足モジュールとウィジェットファイルがアップグレードされていませんでした。 Adobe Commerce 2.4.6-p1、2.4.5-p3、および2.4.4-p4以前のバージョンを使用している場合、セキュリティスキャナーでjQuery-UI CVEの問題が引き続き発生する可能性があります。

この記事には、JQuery-UI ライブラリをバージョン 1.13.2に完全にアップグレードできる、2.4.6 バージョンと2.4.5 バージョン用の2つのパッチと2.4.4 バージョン用のパッチが添付されています。

この問題は、2023年10月リリースのセキュリティパッチ 2.4.6-p3、2.4.5-p5、または2.4.4-p6で修正される予定です。

解決策 resolution

お使いのバージョンの適切なコンポーザーパッチをダウンロードする前に、Adobeが提供するコンポーザーパッチを適用する方法を参照してください。

2.4.6-p2、2.4.6-p1、2.4.5-p4および2.4.5-p3 バージョンの場合:

このセキュリティ脆弱性を2.4.6-p2、2.4.6-p1、2.4.5-p4、2.4.5-p3 バージョンで解決するには、コンポーザパッチ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patchを適用します。

2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1、および2.4.4 バージョンの場合:

このセキュリティ脆弱性を解決するには、2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1、および2.4.4で、対応する2.4.6-p2、2.4.5-p4または2.4.4-p5 セキュリティのみのパッチにアップグレードして、コンポーザパッチを適用しますAdobe Commerceのバージョンに応じて、AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patchまたはコンポーザパッチ AC-9260_2.4.4-p5_2.4.4-p4.patch

2.4.4-p4および2.4.4-p5 バージョンの場合:

このセキュリティ脆弱性を2.4.4-p4および2.4.4-p5 バージョンで解決するには、コンポーザーのパッチ AC-9260_2.4.4-p5_2.4.4-p4.patchを適用します。

recommendation-more-help
experience-cloud-kcs-help-kbarticles