JQuery UI安全漏洞 CVE-2022-31160 2.4.4、2.4.5和2.4.6版的修正

有安全性弱點 CVE-2022-31160 報告對象 jQuery-UI 資料庫1.13.1版,在Adobe Commerce 2.4.4、2.4.5和2.4.6中作為相依性使用。Adobe不知道這個問題有任何利用漏洞的企圖。 此安全性弱點已在中修正 jQuery-UI 程式庫1.13.2版。

在2023年6月,Adobe發行了2.4.6-p1、2.4.5-p3和2.4.4-p4安全性專用修補程式,其中 jQuery-UI 程式庫相依性已升級至最新的1.13.2版本。 不過,您必須套用附加到本文的兩個修補程式之一,才能進行完整修正。

主要 jQuery-UI 檔案已升級,但 jQuery-UI 未升級的補充模組和Widget檔案。 如果您使用Adobe Commerce 2.4.6-p1、2.4.5-p3和2.4.4-p4或更早版本,您的安全性掃描器可能仍會觀察 jQuery-UI CVE問題

本文隨附兩個修補程式,一個適用於2.4.6版和2.4.5版,另一個適用於2.4.4版,提供完整升級 JQuery-UI 程式庫版本至1.13.2版。

此問題將在2023年10月發行版本的安全性修補程式2.4.6-p3、2.4.5-p5或2.4.4-p6的範圍中修正。

受影響的產品和版本

  • Adobe Commerce、內部部署和Magento Open Source:

    • 2.4.4
    • 2.4.4 - p1
    • 2.4.4 - p2
    • 2.4.4 - p3
    • 2.4.4 - p4
    • 2.4.4 - p5
    • 2.4.5
    • 2.4.5 - p1
    • 2.4.5 - p2
    • 2.4.5 - p3
    • 2.4.5 - p4
    • 2.4.6
    • 2.4.6 - p1
    • 2.4.6 - p2

解決方案

請參閱 如何套用Adobe提供的撰寫器修補程式 下載您擁有之版本的適當Composer修補程式之前:

對於2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本:

若要解決2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本上的此安全性弱點,請套用撰寫器修補程式 AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch.

對於2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4版本:

若要解決2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4上的此安全性弱點,請升級至對應的2.4.6-p2、2.4.5-p4或2.4.4-p5安全性專用修補程式,並套用Composer修補程式 AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch 或撰寫器修補程式 AC-9260_2.4.4-p5_2.4.4-p4.patch 取決於您的Adobe Commerce版本。

對於2.4.4-p4和2.4.4-p5版本:

若要解決2.4.4-p4和2.4.4-p5版本的安全性弱點,請套用composer修補程式 AC-9260_2.4.4-p5_2.4.4-p4.patch.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a