Adobe Commerce 2.4.3-p2 — 适用于CVE-2022-35698的2.4.5安全修补程序

2022年10月11日,Adobe定期发布了针对Adobe Commerce和Magento Open Source的2.4.5-p1和2.4.4-p2计划安全修补程序。

在这些修补程序中,有一个更新解决了由CVE-2022-35698分级为重要跟踪的跨站点脚本(存储的XSS) (CWE-79)漏洞。

Adobe不知道有任何针对此问题的漏洞。

在本文中,您将找到适用于早期版本的Adobe Commerce和Magento Open Source的此问题的修补程序修补程序。

受影响的产品和版本

云基础架构和内部部署以及Magento Open Source上的Adobe Commerce:

  • 2.4.5
  • 2.4.4和2.4.4-p1
  • 2.4.3-p2和2.4.3-p3
  • 2.3.7-p3和2.3.7-p4
  • 如果应用了所有适用的2.4.x安全修补程序,则2.4.3-p1及以下版本2.4.3-p1不受影响(请在此处查找适用于您的版本的所有安全修补程序的列表。)
  • 如果应用了所有适用的2.3.x安全修补程序,则2.3.7-p2及以下版本2.3.7-p2不受影响(请在🔗此处查找适用于您的版本的所有安全修补程序的列表。)

适用于Adobe Commerce的云基础架构、内部部署和Magento Open Source解决方案

如果您在云基础架构和内部部署或Magento Open Source上的Adobe Commerce上,要解决此漏洞,您必须应用ACSD-47578修补程序。

适用于购买我们扩展支持服务计划的2.3.7-p3和2.3.7-p4版本的Adobe Commerce云基础设施和本地商户的解决方案

云基础架构上的Adobe Commerce以及2.3.7-p3和2.3.7-p4版本上的本地商家(购买了我们的扩展支持服务计划)必须应用第一个扩展支持2.3.7安全修补程序,该修补程序可从My Account/Downloads部分的Marketplace门户下载。

适用于未参与扩展支持计划的云基础设施和本地商户以及版本2.3.7-p3和2.3.7-p4的Magento Open Source商户的Adobe Commerce解决方案

未参与扩展支持计划的云基础架构上的Adobe Commerce和本地商户以及版本2.3.7-p3和2.3.7-p4 上的Magento Open Source商户必须升级到支持的2.4.x版本

Patch

根据您的Adobe Commerce/Magento Open Source版本,使用以下附加的修补程序:

对于版本2.4.4、2.4.4-p1、2.4.5:

对于版本2.4.3-p2、2.4.3-p3:

如何应用修补程序

解压缩文件,并参阅我们的支持知识库中的如何应用Adobe提供的编辑器修补程序以获取说明。

如何判断是否已应用修补程序

考虑到无法轻松检查问题是否已修补,您可能需要检查ACSD-47578修补程序是否已成功应用。

您可以通过以下步骤执行此操作

  1. 安装质量修补程序工具

  2. 运行以下命令:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. 您应该会看到类似以下内容的输出,其中ACSD-47578返回​ 已应用 ​状态:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

安全更新

可用于Adobe Commerce的安全更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a