Adobe Commerce 2.4.3-p2 - CVE-2022-35698的2.4.5安全性Hotfix
2022年10月11日,Adobe發行了針對Adobe Commerce和Magento Open Source的定期排程安全性修補程式2.4.5-p1和2.4.4-p2。
在這些修補程式中,有一個更新解決了CVE-2022-35698分級為重要所追蹤的跨網站指令碼(儲存XSS) (CWE-79)漏洞。
Adobe不知道這個問題有任何利用漏洞的企圖。
在本文章中,您將找到舊版Adobe Commerce和Magento Open Source此問題的Hotfix修補程式。
受影響的產品和版本
雲端基礎結構和On-Premise及Magento Open Source上的Adobe Commerce:
適用於雲端基礎結構和內部部署以及Magento Open Source的Adobe Commerce解決方案
若要解決您在雲端基礎結構和On-Premise或Magento Open Source上的Adobe Commerce上的弱點,您必須套用ACSD-47578修補程式。
雲端基礎結構上的Adobe Commerce解決方案,以及購買我們延長支援服務方案的2.3.7-p3和2.3.7-p4版本的內部部署商家
雲端基礎結構上的Adobe Commerce以及購買我們延伸支援服務方案的2.3.7-p3和2.3.7-p4版本上的內部部署商家,必須套用第一個延伸支援2.3.7安全性修補程式,可從My Account/Downloads
區段的Marketplace入口網站下載。
針對未參與延伸支援計畫的雲端基礎結構和Magento Open Source商戶的Adobe Commerce解決方案,適用於2.3.7-p3和2.3.7-p4版本的商戶
雲端基礎結構上的Adobe Commerce以及未參與延伸支援計畫的內部部署商家,以及2.3.7-p3和2.3.7-p4版本的Magento Open Source商家 必須升級至支援的2.4.x版本。
修補
根據您的Adobe Commerce/Magento Open Source版本,使用以下附加修補程式:
若為版本2.4.4、2.4.4-p1、2.4.5:
若為版本2.4.3-p2、2.4.3-p3:
如何套用修補程式
解壓縮檔案,並參閱我們的支援知識庫中的如何套用Adobe提供的撰寫器修補程式,以取得指示。
如何判斷是否已套用修補程式
考慮到無法輕鬆檢查問題是否已修補,您可能想要檢查ACSD-47578修補程式是否已成功套用。
您可以執行下列步驟:
-
執行命令:
code language-bash vendor/bin/magento-patches -n status |grep "47578|Status"
-
您應該會看到類似以下的輸出,其中ACSD-47578傳回 已套用 狀態:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全性更新
Adobe Commerce可用的安全性更新: