Adobe Commerce 2.4.3-p2 - CVE-2022-35698的2.4.5安全性Hotfix

2022年10月11日,Adobe發行了針對Adobe Commerce和Magento Open Source的定期排程安全性修補程式2.4.5-p1和2.4.4-p2。

在這些修補程式中,有一個更新解決了CVE-2022-35698分級為重要所追蹤的跨網站指令碼(儲存XSS) (CWE-79)漏洞。

Adobe不知道這個問題有任何利用漏洞的企圖。

在本文章中,您將找到舊版Adobe Commerce和Magento Open Source此問題的Hotfix修補程式。

受影響的產品和版本

雲端基礎結構和On-Premise及Magento Open Source上的Adobe Commerce:

  • 2.4.5
  • 2.4.4, 2.4.4-p1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • 如果套用所有適用的2.4.x安全性Hotfix,則2.4.3-p1及以下版本2.4.3-p1不受影響(請在這裡尋找所有適用於您版本的安全性Hotfix清單。)
  • 如果套用所有適用的2.3.x安全性Hotfix,則2.3.7-p2及以下版本2.3.7-p2不受影響(請在這裡尋找所有適用於您版本的安全性Hotfix清單。)

適用於雲端基礎結構和內部部署以及Magento Open Source的Adobe Commerce解決方案

若要解決您在雲端基礎結構和On-Premise或Magento Open Source上的Adobe Commerce上的弱點,您必須套用ACSD-47578修補程式。

雲端基礎結構上的Adobe Commerce解決方案,以及購買我們延長支援服務方案的2.3.7-p3和2.3.7-p4版本的內部部署商家

雲端基礎結構上的Adobe Commerce以及購買我們延伸支援服務方案的2.3.7-p3和2.3.7-p4版本上的內部部署商家,必須套用第一個延伸支援2.3.7安全性修補程式,可從My Account/Downloads區段的Marketplace入口網站下載。

針對未參與延伸支援計畫的雲端基礎結構和Magento Open Source商戶的Adobe Commerce解決方案,適用於2.3.7-p3和2.3.7-p4版本的商戶

雲端基礎結構上的Adobe Commerce以及未參與延伸支援計畫的內部部署商家,以及2.3.7-p3和2.3.7-p4版本的Magento Open Source商家​ 必須升級至支援的2.4.x版本

修補

根據您的Adobe Commerce/Magento Open Source版本,使用以下附加修補程式:

若為版本2.4.4、2.4.4-p1、2.4.5:

若為版本2.4.3-p2、2.4.3-p3:

如何套用修補程式

解壓縮檔案,並參閱我們的支援知識庫中的如何套用Adobe提供的撰寫器修補程式,以取得指示。

如何判斷是否已套用修補程式

考慮到無法輕鬆檢查問題是否已修補,您可能想要檢查ACSD-47578修補程式是否已成功套用。

您可以執行下列步驟

  1. 安裝品質修補工具

  2. 執行命令:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. 您應該會看到類似以下的輸出,其中ACSD-47578傳回​ 已套用 ​狀態:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

安全性更新

Adobe Commerce可用的安全性更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a