Adobe Commerce 2.4.3-p2 - Hotfix de segurança 2.4.5 para CVE-2022-35698

Em 11 de outubro de 2022, o Adobe lançou patches de segurança regularmente programados 2.4.5-p1 e 2.4.4-p2 para Adobe Commerce e Magento Open Source.

Entre esses patches está uma atualização que resolve uma vulnerabilidade de Criação de script entre sites (XSS Armazenado) (CWE-79) rastreada pelo CVE-2022-35698 classificado como importante.

O Adobe não está ciente de nenhuma exploração desse problema.

Neste artigo, você encontrará patches de hotfix para esse problema nas versões anteriores do Adobe Commerce e do Magento Open Source.

Produtos e versões afetados

Adobe Commerce na infraestrutura em nuvem e no local, e Magento Open Source:

  • 2.4.5
  • 2.4.4, 2.4.4-p1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • As versões 2.4.3-p1 e anteriores a 2.4.3-p1 não serão afetadas se todos os hotfixes de segurança 2.4.x aplicáveis forem aplicados (Encontre a lista de todos os hotfixes de segurança aplicáveis à sua versão aqui.)
  • As versões 2.3.7-p2 e anteriores a 2.3.7-p2 não serão afetadas se todos os hotfixes de segurança 2.3.x aplicáveis forem aplicados (Encontre a lista de todos os hotfixes de segurança aplicáveis à sua versão aqui.)

Solução para Adobe Commerce na infraestrutura em nuvem e no local, e Magento Open Source

Para resolver a vulnerabilidade se você estiver no Adobe Commerce na infraestrutura em nuvem e no local, ou no Magento Open Source, você deve aplicar o patch ACSD-47578.

Solução para Adobe Commerce na infraestrutura em nuvem e para comerciantes locais nas versões 2.3.7-p3 e 2.3.7-p4 que compraram nosso programa de oferta de suporte estendido

O Adobe Commerce na infraestrutura em nuvem e os comerciantes locais nas versões 2.3.7-p3 e 2.3.7-p4 que compraram nosso programa de oferta de Suporte Estendido devem aplicar o primeiro patch de segurança de suporte estendido 2.3.7 que pode ser baixado do portal do Marketplace na seção My Account/Downloads.

Solução para Adobe Commerce na infraestrutura em nuvem e comerciantes locais, que não participam do programa de suporte estendido, e comerciantes Magento Open Source nas versões 2.3.7-p3 e 2.3.7-p4

O Adobe Commerce na infraestrutura em nuvem e os comerciantes locais, que não participam do programa Suporte Estendido, e os comerciantes de Magento Open Source nas versões 2.3.7-p3 e 2.3.7-p4 devem atualizar para uma versão 2.4.x com suporte.

Correção

Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:

Para as versões 2.4.4, 2.4.4-p1, 2.4.5:

Para as versões 2.4.3-p2, 2.4.3-p3:

Como aplicar o patch

Descompacte o arquivo e consulte Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.

Como saber se os patches foram aplicados

Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se o patch ACSD-47578 foi aplicado com sucesso.

Você pode fazer isso executando as seguintes etapas:

  1. Instale a Ferramenta de Correções de Qualidade.

  2. Execute o comando:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. Você deve ver uma saída semelhante a esta, onde ACSD-47578 retorna o status Aplicado:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Atualizações de segurança

Atualizações de segurança disponíveis para o Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a