2.4.4、2.4.5和2.4.6版的JQuery UI安全漏洞CVE-2022-31160修正

針對Adobe Commerce 2.4.4、2.4.5和2.4.6中作為相依性使用的jQuery-UI程式庫1.13.1版回報安全性弱點CVE-2022-31160。Adobe不知道這個問題有任何利用漏洞的企圖。 jQuery-UI資料庫1.13.2版已修正此安全性弱點。

在2023年6月，Adobe發行了2.4.6-p1、2.4.5-p3和2.4.4-p4僅限安全性的修補程式，其中jQuery-UI資料庫相依性已升級至最新的1.13.2版本。 不過，您必須套用附加到本文的兩個修補程式之一，才能進行完整修正。

主要jQuery-UI檔案已升級，但有jQuery-UI個補充模組和Widget檔案未升級。 如果您使用Adobe Commerce 2.4.6-p1、2.4.5-p3和2.4.4-p4或更早版本，您的安全性掃描器可能仍會發現jQuery-UI CVE問題。

本文附件提供兩個修補程式，一個適用於2.4.6版和2.4.5版，另一個適用於2.4.4版，可將JQuery-UI程式庫完全升級至1.13.2版。

此問題將在2023年10月發行版本的安全性修補程式2.4.6-p3、2.4.5-p5或2.4.4-p6的範圍中修正。

受影響的產品和版本

解決方案

請參考如何套用Adobe提供的撰寫器修補程式，再下載您擁有之版本的適當撰寫器修補程式：

對於2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本：

若要解決2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本的這個安全性弱點，請套用撰寫器修補程式AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch。

對於2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4版本：

若要解決2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4上的此安全性弱點，請升級至對應的2.4.6-p2、2.4.5-p4或2.4.4-p5安全性專用修補程式，並套用Composer修補程式AC-9260_2.4.6-p2.4.6-p1_2.4.5-p4.4 -p3.patch或編輯器修補程式AC-9260_2.4.4-p5_2.4.4-p4.patch，具體取決於您的Adobe Commerce版本。

對於2.4.4-p4和2.4.4-p5版本：

若要解決2.4.4-p4和2.4.4-p5版本的這個安全性弱點，請套用Composer修補程式AC-9260_2.4.4-p5_2.4.4-p4.patch。