JQuery UI - säkerhetsrisk CVE-2022-31160 korrigering för version 2.4.4, 2.4.5 och 2.4.6

Det finns en säkerhetsrisk CVE-2022-31160 rapporterat för jQuery-UI biblioteksversion 1.13.1 som används som beroende i Adobe Commerce 2.4.4, 2.4.5 och 2.4.6. Adobe är inte medveten om att det har utnyttjats. Säkerhetsluckan har åtgärdats i jQuery-UI biblioteksversion 1.13.2.

I juni 2023 släppte Adobe 2.4.6-p1, 2.4.5-p3 och 2.4.4-p4 säkerhetspatchar där jQuery-UI biblioteksberoendet uppgraderades till den senaste 1.13.2-versionen. Du måste dock använda en av de två patcharna som är kopplade till den här artikeln för att få en fullständig korrigering.

Huvuddelen jQuery-UI filen uppgraderades men det fanns jQuery-UI extra modul- och widgetfiler som inte uppgraderats. Om du använder Adobe Commerce 2.4.6-p1, 2.4.5-p3 och 2.4.4-p4 eller tidigare versioner kan det hända att säkerhetsskannern fortfarande kan se jQuery-UI CVE-problem.

Kopplade till den här artikeln är två patchar, en för 2.4.6-versioner och 2.4.5-versioner och en för 2.4.4-versioner, som ger en fullständig uppgradering av JQuery-UI till version 1.13.2.

Problemet kommer att åtgärdas i oktober 2023-versionen av säkerhetspatchar 2.4.6-p3, 2.4.5-p5 eller 2.4.4-p6.

Berörda produkter och versioner

  • Adobe Commerce, lokalkontor och Magento Open Source:

    • 2.4.4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2.4.6
    • 2.4.6-p1
    • 2.4.6-p2

Lösning

Se Använda en kompositkorrigering från Adobe innan du hämtar rätt Composer-patch för den version du har:

För versionerna 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 och 2.4.5-p3:

För att åtgärda säkerhetsluckan i versionerna 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 och 2.4.5-p3 använder du en dispositionspatch AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

För versionerna 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 och 2.4.4:

För att åtgärda säkerhetsluckan i 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 och 2.4.4 ska du uppgradera till motsvarande 2.4.6-p2, 2.4.5-p4 eller 2.4.4.4-p2 5 patchar som bara skyddar och en kompositkorrigering används AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch eller kompositkorrigering AC-9260_2.4.4-p5_2.4.4-p4.patch beroende på vilken version av Adobe Commerce du har.

För versionerna 2.4.4-p4 och 2.4.4-p5:

För att åtgärda säkerhetsluckan i version 2.4.4-p4 och 2.4.4-p5 ska du använda en kompositkorrigering AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a