JQuery UI-säkerhetssårbarhet CVE-2022-31160 korrigering för 2.4.4, 2.4.5 och 2.4.6-versioner

En säkerhetssårbarhet CVE-2022-31160 har rapporterats för jQuery-UI biblioteksversion 1.13.1 som används som ett beroende i Adobe Commerce 2.4.4, 2.4.5 och 2.4.6. Adobe är inte medveten om att det har utnyttjats. Säkerhetsluckan har åtgärdats i jQuery-UI biblioteksversion 1.13.2.

I juni 2023 släppte Adobe 2.4.6-p1, 2.4.5-p3 och 2.4.4-p4 säkerhetspatchar där jQuery-UI biblioteksberoendet uppgraderades till den senaste 1.13.2-versionen. Du måste dock använda en av de två patcharna som är kopplade till den här artikeln för att få en fullständig korrigering.

Huvudfilen jQuery-UI uppgraderades men det fanns jQuery-UI extra modul- och widgetfiler som inte uppgraderades. Om du använder Adobe Commerce 2.4.6-p1, 2.4.5-p3 och 2.4.4-p4 eller tidigare versioner kan det hända att säkerhetsskannern fortfarande kan se CVE-problemet i jQuery-UI.

Kopplade till den här artikeln är två patchar, en för 2.4.6-versioner och 2.4.5-versioner och en för 2.4.4-versioner, som ger en fullständig uppgradering av JQuery-UI-biblioteket till version 1.13.2.

Problemet kommer att åtgärdas i oktober 2023-versionen av säkerhetspatchar 2.4.6-p3, 2.4.5-p5 eller 2.4.4-p6.

Berörda produkter och versioner

  • Adobe Commerce, lokalkontor och Magento Open Source:

    • 2.4.4
    • 2.4.4-p1
    • 2.4.4-p2
    • 2.4.4-p3
    • 2.4.4-p4
    • 2.4.4-p5
    • 2.4.5
    • 2.4.5-p1
    • 2.4.5-p2
    • 2.4.5-p3
    • 2.4.5-p4
    • 2.4.6
    • 2.4.6-p1
    • 2.4.6-p2

Lösning

Se Använda en dispositionsruta som tillhandahålls av Adobe innan du hämtar rätt Composer-korrigering för den version du har:

För versionerna 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 och 2.4.5-p3:

För att åtgärda säkerhetsluckan i versionerna 2.4.6-p2, 2.4.6-p1, 2.4.5-p4 och 2.4.5-p3 använder du en kompositör-patch AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

För versionerna 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 och 2.4.4:

För att åtgärda säkerhetsluckan i 2.4.6, 2.4.5-p2, 2.4.5-p1, 2.4.5, 2.4.4-p3, 2.4.4-p2, 2.4.4-p1 och 2.4.4 ska du uppgradera till motsvarande 2.4.6-p2, 2.4.5-p4 eller 2.4.4.4-p2 5 patchar som endast är avsedda för säkerhet och du kan använda en kompositkorrigering AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4.5-p3.patch eller kompositkorrigering AC-9260_2.4.4-p5_2.4.4-p4.4.4 patchberoende på vilken version av Adobe Commerce du har.

För versionerna 2.4.4-p4 och 2.4.4-p5:

För att åtgärda säkerhetsluckan i version 2.4.4-p4 och 2.4.4-p5 ska du lägga till en dispositionspatch AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a