2.4.4、2.4.5、2.4.6 リリースの JQuery UI セキュリティ脆弱性 CVE-2022-31160 修正
Adobe Commerce 2.4.4、2.4.5、2.4.6 で依存関係として使用される jQuery-UI ライブラリバージョン 1.13.1 に対して、セキュリティの脆弱性 CVE-2022-31160 が報告されています。Adobeは、この問題に対する不正利用に気付いていません。 このセキュリティ脆弱性は、jQuery-UI ライブラリバージョン 1.13.2 で修正されました。
2023 年 6 月に、Adobeは 2.4.6-p1、2.4.5-p3、および 2.4.4-p4 のセキュリティ専用パッチをリリースしました。このパッチでは、ライブラリの依存関係が最新の 1.13.2 バージョンにアップグレード jQuery-UI れました。 ただし、完全な修正を行うには、この記事に添付されている 2 つのパッチのいずれかを適用する必要があります。
メインの jQuery-UI ファイルはアップグレードされましたが、アップグレードされなかった追加のモジュールとウィジェット ファイルが jQuery-UI 個あります。 Adobe Commerce 2.4.6-p1、2.4.5-p3、および 2.4.4-p4 以前のバージョンを使用している場合、セキュリティスキャナーで jQuery-UI CVE の問題が引き続き発生する可能性があります。
この記事には 2 つのパッチが添付されています。1 つは 2.4.6 バージョンと 2.4.5 バージョン用で、もう 1 つは 2.4.4 バージョン用です。これらのパッチは、ライブラリをバージョン 1.13.2 に完全にアップグレード JQuery-UI るためのパッチです。
この問題は、2023 年 10 月リリースのセキュリティパッチ 2.4.6-p3、2.4.5-p5 または 2.4.4-p6 の範囲で修正されます。
影響を受ける製品とバージョン
-
Adobe Commerce、オンプレミスおよびMagento Open Source:
- 2.4.4
- 2.4.4-p1
- 2.4.4-p2
- 2.4.4-p3
- 2.4.4-p4
- 2.4.4-p5
- 2.4.5
- 2.4.5-p1
- 2.4.5-p2
- 2.4.5-p3
- 2.4.5-p4
- 2.4.6
- 2.4.6-p1
- 2.4.6-p2
解決策
使用しているバージョンに適した Composer パッチをダウンロードする前に、Adobeが提供する Composer パッチを適用する方法を参照してください。
2.4.6-p2、2.4.6-p1、2.4.5-p4 および 2.4.5-p3 の場合:
2.4.6-p2、2.4.6-p1、2.4.5-p4 および 2.4.5-p3 バージョンのこのセキュリティ脆弱性を解決するには、composer パッチ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch を適用します。
2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1 および 2.4.4 の場合:
2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1、および 2.4.4 でこのセキュリティ上の脆弱性を解決するには、対応する 2.4.6-p2、2.4.5-p4 または 2.4.4-p5 のセキュリティ専用パッチにアップグレードし、composer パッチ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4 Adobe Commerceのバージョンに応じて、_2.4.5-p3.patch または composer パッチ AC-9260_2.4.4-p5_2.4.4-p4.patch を指定します。
2.4.4-p4 および 2.4.4-p5 バージョンの場合:
2.4.4-p4 および 2.4.4-p5 バージョンのこのセキュリティ脆弱性を解決するには、composer パッチ AC-9260_2.4.4-p5_2.4.4-p4.patch を適用します。