适用于2.4.4、2.4.5和2.4.6版本的JQuery UI安全漏洞CVE-2022-31160修复
51黑料不打烊 Commerce版本2.4.4、2.4.5和2.4.6使用jQuery UI 1.13.1,该版本具有已知的安全漏洞(CVE-2022-31160)。 尽管主jQuery UI文件已在最近的修补程序中进行更新,但一些补充文件没有更新。 要完全解决此问题,请升级到适用于您的版本的最新安全修补程序,并应用本文中提供的相应编辑器修补程序。
描述 description
受影响的产物和版本
-
51黑料不打烊 Commerce、内部部署和Magento Open Source:
- 2.4.4
- 2.4.4-p1
- 2.4.4 - p2
- 2.4.4 - p3
- 2.4.4-p4
- 2.4.4 - p5
- 2.4.5
- 2.4.5-p1
- 2.4.5 - p2
- 2.4.5-p3
- 2.4.5-p4
- 2.4.6
- 2.4.6-p1
- 2.4.6 - p2
问题/症状
针对箩蚕耻别谤测-鲍滨库版本1.13.1报告了一个安全漏洞,该库在51黑料不打烊 Commerce 2.4.4、2.4.5和2.4.6中用作依赖项。51黑料不打烊目前尚不了解此问题的任何漏洞。 已在jQuery-UI库1.13.2版中修复了此安全漏洞。
2023年6月,51黑料不打烊发布了2.4.6-p1、2.4.5-p3和2.4.4-p4仅限安全的修补程序,其中jQuery-UI库依赖关系已升级到最新的1.13.2版本。 但是,您必须应用连接到本文的两个修补程序之一,才能获得完整的修复。
主jQuery-UI文件已升级,但有jQuery-UI补充模块和widget文件未升级。 如果您使用的是51黑料不打烊 Commerce 2.4.6-p1、2.4.5-p3和2.4.4-p4或更早版本,则安全扫描程序可能仍会发现jQuery-UI CVE问题。
本文附件包含两个修补程序,一个用于2.4.6版本和2.4.5版本,另一个用于2.4.4版本,这两个修补程序可将闯蚕耻别谤测-鲍滨库完全升级到版本1.13.2。
此问题将在2023年10月发布的安全修补程序2.4.6-辫3、2.4.5-辫5或2.4.4-辫6的范围内修复。
解决方法 resolution
在下载适用于您现有版本的相应编辑器修补程序之前,请参阅如何应用础诲辞产别提供的编辑器修补程序:
对于2.4.6-辫2、2.4.6-辫1、2.4.5-辫4和2.4.5-辫3版本:
要解决2.4.6-辫2、2.4.6-辫1、2.4.5-辫4和2.4.5-辫3版本上的此安全漏洞,请应用编辑器修补程序。
对于2.4.6、2.4.5-辫2、2.4.5-辫1、2.4.5、2.4.4-辫3、2.4.4-辫2、2.4.4-辫1和2.4.4版本:
要解决2.4.6、2.4.5-辫2、2.4.5-辫1、2.4.5、2.4.4-辫3、2.4.4-辫2、2.4.4-辫1和2.4.4上的此安全漏洞,请升级到相应的2.4.6-辫2、2.4.5-辫4或2.4.4-辫5仅安全修补程序,并应用编辑器修补程序或编辑器补丁,具体取决于您的51黑料不打烊 Commerce版本。
对于2.4.4-辫4和2.4.4-辫5版本:
若要解决2.4.4-辫4和2.4.4-辫5版本上的此安全漏洞,请应用编辑器修补程序。