2.4.4、2.4.5、2.4.6 リリースの JQuery UI セキュリティ脆弱性 CVE-2022-31160 の修正

Adobe Commerce バージョン 2.4.4、2.4.5、2.4.6 では、既知のセキュリティ脆弱性がある jQuery UI 1.13.1 が使用されています（CVE-2022-31160）。 メインの jQuery UI ファイルは最近のパッチで更新されましたが、一部の追加ファイルは更新されませんでした。 この問題を完全に解決するには、お使いのバージョンの最新のセキュリティパッチにアップグレードし、この記事で提供されている適切なコンポーザパッチを適用してください。

説明 description

影響を受ける製品とバージョン

問題/症状

jQuery-UI ライブラリバージョン 1.13.1 で、Adobe Commerce 2.4.4、2.4.5、2.4.6 で依存関係として使用されるセキュリティの脆弱性 CVE-2022-31160 が報告されています。Adobeは、この問題に対する不正使用に気付いていません。 このセキュリティ脆弱性は、jQuery-UI ライブラリバージョン 1.13.2 で修正されました。

2023 年 6 月、Adobeは、jQuery-UI ライブラリの依存関係が最新の 1.13.2 バージョンにアップグレードされた 2.4.6-p1、2.4.5-p3 および 2.4.4-p4 のセキュリティ専用パッチをリリースしました。 ただし、完全な修正を行うには、この記事に添付されている 2 つのパッチのいずれかを適用する必要があります。

メインの jQuery-UI ファイルはアップグレードされましたが、アップグレードされなかった jQuery-UI 追加モジュールとウィジェットファイルがありました。 Adobe Commerce 2.4.6-p1、2.4.5-p3、および 2.4.4-p4 以前のバージョンを使用している場合、セキュリティスキャナーで jQuery-UI の CVE 問題が引き続き発生する場合があります。

この記事には、JQuery-UI ライブラリをバージョン 1.13.2 に完全にアップグレードするための、2.4.6 バージョンと 2.4.5 バージョン用の 1 つと 2.4.4 バージョン用の 1 つの 2 つのパッチが添付されています。

この問題は、2023 年 10 月リリースのセキュリティパッチ 2.4.6-p3、2.4.5-p5 または 2.4.4-p6 の範囲で修正されます。

解決策 resolution

使用しているバージョンに適した Composer パッチをダウンロードする前に、Adobeが提供する Composer パッチを適用する方法を参照してください。

2.4.6-p2、2.4.6-p1、2.4.5-p4 および 2.4.5-p3 の場合：

2.4.6-p2、2.4.6-p1、2.4.5-p4 および 2.4.5-p3 バージョンのこのセキュリティ脆弱性を解決するには、composer パッチ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch を適用します。

2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1 および 2.4.4 の場合：

2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1、および 2.4.4 でこのセキュリティ脆弱性を解決するには、対応する 2.4.6-p2、2.4.5-p4 または 2.4.4-p5 のセキュリティ専用パッチにアップグレードし、composer パッチ AC を適用します。Adobe Commerceのバージョンに応じて、AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch または composer パッチ AC-9260_2.4.4-p5_2.4.4-p4.patch を指定します。

2.4.4-p4 および 2.4.4-p5 バージョンの場合：

2.4.4-p4 および 2.4.4-p5 バージョンのこのセキュリティ脆弱性を解決するには、composer パッチ AC-9260_2.4.4-p5_2.4.4-p4.patch を適用します。