JQuery UI-beveiligingskwetsbaarheid CVE-2022-31160-oplossing voor 2.4.4-, 2.4.5- en 2.4.6-releases

Adobe Commerce-versies 2.4.4, 2.4.5 en 2.4.6 maken gebruik van jQuery UI 1.13.1, die een bekende beveiligingskwetsbaarheid heeft (CVE-2022-31160). Hoewel het hoofdbestand met de jQuery-gebruikersinterface onlangs is bijgewerkt in patches, zijn sommige aanvullende bestanden niet bijgewerkt. Om dit probleem volledig op te lossen, voert u een upgrade uit naar de nieuwste beveiligingspatch voor uw versie en past u de juiste composer-patch toe die in dit artikel is vermeld.

Beschrijving description

Betrokken producten en versies

Probleem/symptomen

Er is een veiligheidskwetsbaarheid ​ CVE-2022-31160 ​ die voor jQuery-UI bibliotheekversie 1.13.1 wordt gemeld die als gebiedsdeel in Adobe Commerce 2.4.4, 2.4.5, en 2.4.6 wordt gebruikt. Adobe is niet op de hoogte van enig misbruik voor dit probleem. Deze beveiligingskwetsbaarheid is verholpen in jQuery-UI-bibliotheek versie 1.13.2.

In juni 2023 heeft Adobe beveiligingspatches met 2.4.6-p1, 2.4.5-p3 en 2.4.4-p4 uitgebracht, waarbij jQuery-UI-bibliotheekafhankelijkheid is bijgewerkt naar de nieuwste versie 1.13.2. U moet echter een van de twee patches die aan dit artikel zijn gekoppeld, toepassen voor een complete oplossing.

Het belangrijkste jQuery-UI-bestand is bijgewerkt, maar er waren aanvullende jQuery-UI-module en widgetbestanden die niet zijn bijgewerkt. Als u Adobe Commerce 2.4.6-p1, 2.4.5-p3, en 2.4.4-p4 of vroegere versies gebruikt, zouden uw veiligheidsscanners de jQuery-UI CVE kwestie nog kunnen waarnemen.

Bijgevoegd aan dit artikel zijn twee flarden, één voor 2.4.6 versies en 2.4.5 versies, en een andere voor 2.4.4 versies, die volledige verbetering van JQuery-UI bibliotheek aan versie 1.13.2 verstrekken.

Dit probleem wordt opgelost in het toepassingsgebied van de beveiligingspatches 2.4.6-p3, 2.4.5-p5 of 2.4.4-p6 van oktober 2023.

Resolutie resolution

Verwijs naar ​ hoe te om een composerflard toe te passen die door Adobe ​ wordt verstrekt alvorens het aangewezen flard Composer voor de versie te downloaden u hebt:

voor 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 en 2.4.5-p3 versies:

Om deze veiligheidskwetsbaarheid op 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 en 2.4.5-p3 versies op te lossen, pas een componentenflard ​ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3 toe patch.

voor 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1, en 2.4.4 versies:

Om deze beveiligingskwetsbaarheid op te lossen op 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1, en 2.4.4, upgrade naar een overeenkomstige 2.4.6-p2, 2.4.5-p4 of 2.4-p2 5 veiligheid-enige flarden en pas een componentenflard ​ AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch ​ of composer flardt ​ AC-9260_2.4.4-p5_2.4-p 4.patch ​ afhankelijk van uw versie van Adobe Commerce.

voor 2.4.4-p4 en 2.4.4-p5 versies:

Om deze veiligheidskwetsbaarheid op versie 2.4.4-p4 en 2.4.4-p5 op te lossen, pas een componentenflard ​ AC-9260_2.4.4-p5_2.4.4-p4.patch ​ toe.