DocumentaçãoCommerceKB do Commerce

Correção da vulnerabilidade de segurança da interface do usuário do JQuery CVE-2022-31160 para as versões 2.4.4, 2.4.5 e 2.4.6

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Criado para:

  • Desenvolvedor

Há uma vulnerabilidade de segurança CVE-2022-31160 relatada para a biblioteca jQuery-UI versão 1.13.1, que é usada como uma dependência no Adobe Commerce 2.4.4, 2.4.5 e 2.4.6. O Adobe não está ciente de nenhuma exploração desse problema. Esta vulnerabilidade de segurança foi corrigida na biblioteca jQuery-UI versão 1.13.2.

Em junho de 2023, o Adobe lançou os patches somente de segurança 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4, em que a dependência da biblioteca jQuery-UI foi atualizada para a versão 1.13.2 mais recente. No entanto, você deve aplicar um dos dois patches anexados a este artigo, para uma correção completa.

O arquivo jQuery-UI principal foi atualizado, mas havia jQuery-UI módulo suplementar e arquivos de widget que não foram atualizados. Se você estiver usando o Adobe Commerce 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 ou versões anteriores, seus verificadores de segurança ainda poderão observar o problema do CVE jQuery-UI.

Dois patches estão anexados a este artigo, um para as versões 2.4.6 e 2.4.5, e outro para as versões 2.4.4, que fornecem a atualização completa da biblioteca JQuery-UI para a versão 1.13.2.

Esse problema será corrigido no escopo das versões de patches de segurança 2.4.6-p3, 2.4.5-p5 ou 2.4.4-p6 de outubro de 2023.

Produtos e versões afetados

  • Adobe Commerce, no local e Magento Open Source:

    • 2.4.4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2.4.6
    • 2.4.6-p1
    • 2.4.6-p2

Solução

Consulte Como aplicar um patch de compositor fornecido pelo Adobe antes de baixar o patch do Composer apropriado para a versão que você tem:

Para as versões 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3:

Para resolver essa vulnerabilidade de segurança nas versões 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3, aplique um patch de compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Para as versões 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4:

Para resolver essa vulnerabilidade de segurança nos patches somente segurança 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4, atualize para os patches correspondentes 2.4.6-p2, 2.4.5-p4 ou 2.4.4-p5 e aplique um patch compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch ou patch de compositor AC-9260_2.4.4-p5_2.4.4-p4.patch, dependendo da versão do Adobe Commerce.

Para as versões 2.4.4-p4 e 2.4.4-p5:

Para resolver essa vulnerabilidade de segurança nas versões 2.4.4-p4 e 2.4.4-p5, aplique um patch compositor AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a