Adobe Commerce 2.4.3-p2 - Hotfix de segurança 2.4.5 para CVE-2022-35698
Em 11 de outubro de 2022, a Adobe lançou patches de segurança regularmente programados 2.4.5-p1 e 2.4.4-p2 para Adobe Commerce e Magento Open Source.
Entre esses patches está uma atualização que resolve uma vulnerabilidade de Criação de script entre sites (XSS Armazenado) (CWE-79) rastreada pelo CVE-2022-35698 classificado como importante.
A Adobe não está ciente de nenhuma exploração desse problema.
Neste artigo, você encontrará patches de hotfix para esse problema nas versões anteriores do Adobe Commerce e do Magento Open Source.
Descrição description
Ambiente
Adobe Commerce na infraestrutura em nuvem e no local, e Magento Open Source:
- 2.4.5
- 2.4.4, 2.4.4-p1
- 2.4.3-p2, 2.4.3-p3
- 2.3.7-p3, 2.3.7-p4
- As versões 2.4.3-p1 e anteriores a 2.4.3-p1 não serão afetadas se todos os hotfixes de segurança 2.4.x aplicáveis forem aplicados (Encontre a lista de todos os hotfixes de segurança aplicáveis à sua versão aqui).
- As versões 2.3.7-p2 e anteriores a 2.3.7-p2 não serão afetadas se todos os hotfixes de segurança 2.3.x aplicáveis forem aplicados (Encontre a lista de todos os hotfixes de segurança aplicáveis à sua versão aqui).
Resolução resolution
Solução para Adobe Commerce na infraestrutura em nuvem e no local, e Magento Open Source
Para resolver a vulnerabilidade se você estiver no Adobe Commerce na infraestrutura em nuvem e no local, ou no Magento Open Source, é necessário aplicar o patch ACSD-47578.
Solução para Adobe Commerce na infraestrutura em nuvem e para comerciantes locais nas versões 2.3.7-p3 e 2.3.7-p4 que compraram nosso programa de oferta de suporte estendido
O Adobe Commerce na infraestrutura em nuvem e os comerciantes locais nas versões 2.3.7-p3 e 2.3.7-p4 que compraram nosso programa de oferta de Suporte Estendido devem aplicar o primeiro patch de segurança de suporte estendido 2.3.7 que pode ser baixado do portal do Marketplace na seção Minha conta/Downloads.
Solução para Adobe Commerce na infraestrutura em nuvem e para comerciantes locais, que não participam do programa Extended Support, e para comerciantes da Magento Open Source nas versões 2.3.7-p3 e 2.3.7-p4
O Adobe Commerce na infraestrutura em nuvem e os comerciantes locais, que não participam do programa de suporte estendido, e os comerciantes do Magento Open Source nas versões 2.3.7-p3 e 2.3.7-p4 devem atualizar para uma versão 2.4.x com suporte.
Correção
Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:
Para as versões 2.4.4, 2.4.4-p1, 2.4.5:
Para as versões 2.4.3-p2, 2.4.3-p3:
Como aplicar o patch
Descompacte o arquivo e veja Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.
Como saber se os patches foram aplicados
Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se o patch ACSD-47578 foi aplicado com sucesso.
Você pode fazer isso executando as seguintes etapas:
- Instale a Ferramenta Correções de qualidade.
- Execute o comando:
vendor/bin/magento-patches -n status |grep "47578|Status" - Você deve ver uma saída semelhante a esta, em que ACSD-47578 retorna o status Aplicado:
║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce: