2.4.4、2.4.5和2.4.6版的JQuery UI安全漏洞CVE-2022-31160修正

針對Adobe Commerce 2.4.4、2.4.5和2.4.6中作為相依性使用的jQuery-UI程式庫1.13.1版回報安全性弱點CVE-2022-31160。Adobe不知道這個問題有任何利用漏洞的企圖。 jQuery-UI資料庫1.13.2版已修正此安全性弱點。

在2023年6月,Adobe發行了2.4.6-p1、2.4.5-p3和2.4.4-p4僅限安全性的修補程式,其中jQuery-UI資料庫相依性已升級至最新的1.13.2版本。 不過,您必須套用附加到本文的兩個修補程式之一,才能進行完整修正。

主要jQuery-UI檔案已升級,但有jQuery-UI個補充模組和Widget檔案未升級。 如果您使用Adobe Commerce 2.4.6-p1、2.4.5-p3和2.4.4-p4或更早版本,您的安全性掃描器可能仍會發現jQuery-UI CVE問題。

本文附件提供兩個修補程式,一個適用於2.4.6版和2.4.5版,另一個適用於2.4.4版,可將JQuery-UI程式庫完全升級至1.13.2版。

此問題將在2023年10月發行版本的安全性修補程式2.4.6-p3、2.4.5-p5或2.4.4-p6的範圍中修正。

受影響的產品和版本

  • Adobe Commerce、內部部署和Magento Open Source:

    • 2.4.4
    • 2.4.4 - p1
    • 2.4.4 - p2
    • 2.4.4 - p3
    • 2.4.4 - p4
    • 2.4.4 - p5
    • 2.4.5
    • 2.4.5 - p1
    • 2.4.5 - p2
    • 2.4.5 - p3
    • 2.4.5 - p4
    • 2.4.6
    • 2.4.6 - p1
    • 2.4.6 - p2

解決方案

請參考如何套用Adobe提供的撰寫器修補程式,再下載您擁有之版本的適當撰寫器修補程式:

對於2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本:

若要解決2.4.6-p2、2.4.6-p1、2.4.5-p4和2.4.5-p3版本的這個安全性弱點,請套用撰寫器修補程式AC-9260_2.4.6-p2_2.4.6-p1_2.4.5-p4_2.4.5-p3.patch

對於2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4版本:

若要解決2.4.6、2.4.5-p2、2.4.5-p1、2.4.5、2.4.4-p3、2.4.4-p2、2.4.4-p1和2.4.4上的此安全性弱點,請升級至對應的2.4.6-p2、2.4.5-p4或2.4.4-p5安全性專用修補程式,並套用Composer修補程式AC-9260_2.4.6-p2.4.6-p1_2.4.5-p4.4 -p3.patch或編輯器修補程式AC-9260_2.4.4-p5_2.4.4-p4.patch,具體取決於您的Adobe Commerce版本。

對於2.4.4-p4和2.4.4-p5版本:

若要解決2.4.4-p4和2.4.4-p5版本的這個安全性弱點,請套用Composer修補程式AC-9260_2.4.4-p5_2.4.4-p4.patch

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a