Correção CVE-2022-31160 de vulnerabilidade de segurança da interface do JQuery para as versões 2.4.4, 2.4.5 e 2.4.6

As versões 2.4.4, 2.4.5 e 2.4.6 do Adobe Commerce usam a jQuery UI 1.13.1, que tem uma vulnerabilidade de segurança conhecida (CVE-2022-31160). Embora o arquivo principal da interface do jQuery tenha sido atualizado em patches recentes, alguns arquivos complementares não foram. Para resolver totalmente esse problema, atualize para o patch de segurança mais recente para a sua versão e aplique o patch de compositor apropriado fornecido neste artigo.

Descrição description

Produtos e versões afetados

  • Adobe Commerce, no local e Magento Open Source:

    • 2.4.4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2.4.6
    • 2.4.6-p1
    • 2.4.6-p2

Problema/Sintomas

Há uma vulnerabilidade de segurança CVE-2022-31160 relatada para a biblioteca jQuery-UI versão 1.13.1, que é usada como uma dependência no Adobe Commerce 2.4.4, 2.4.5 e 2.4.6. A Adobe não está ciente de nenhuma exploração desse problema. Esta vulnerabilidade de segurança foi corrigida na biblioteca jQuery-UI versão 1.13.2.

Em junho de 2023, o Adobe lançou os patches somente de segurança 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4, em que a dependência da biblioteca jQuery-UI foi atualizada para a versão 1.13.2 mais recente. No entanto, você deve aplicar um dos dois patches anexados a este artigo, para uma correção completa.

O arquivo jQuery-UI principal foi atualizado, mas havia módulo complementar jQuery-UI e arquivos de widget que não foram atualizados. Se você estiver usando o Adobe Commerce 2.4.6-p1, 2.4.5-p3 e 2.4.4-p4 ou versões anteriores, os mecanismos de varredura de segurança ainda poderão observar o problema do CVE na interface do jQuery.

Este artigo contém dois patches, um para as versões 2.4.6 e 2.4.5, e outro para as versões 2.4.4, que fornecem a atualização completa da biblioteca JQuery-UI para a versão 1.13.2.

Esse problema será corrigido no escopo das versões de patches de segurança 2.4.6-p3, 2.4.5-p5 ou 2.4.4-p6 de outubro de 2023.

Resolução resolution

Consulte Como aplicar um patch de compositor fornecido pelo Adobe antes de baixar o patch do Composer apropriado para a versão que você tem:

Para as versões 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3:

Para resolver essa vulnerabilidade de segurança nas versões 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 e 2.4.5-p3, aplique um patch de compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

Para as versões 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4:

Para resolver essa vulnerabilidade de segurança em 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 e 2.4.4, atualize para um patch 2.4.6-p2, 2.4.5-p4 ou 2.4.4-p5 correspondente somente de segurança e aplique um patch compositor AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch ou patch de compositor AC-9260_2.4.4-p5_2.4.4-p4.patch, dependendo da versão do Adobe Commerce.

Para as versões 2.4.4-p4 e 2.4.4-p5:

Para resolver essa vulnerabilidade de segurança nas versões 2.4.4-p4 e 2.4.4-p5, aplique um patch compositor AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f