zranitelnost nette a jak upgradovat

Dnes jsem se trochu podrobněji seznámil s objevenou zranitelností nette a trochu jsem se orosil. Mám několik webů (různí klienti, různé hostingy), počínaje nette 2.4 až nette 3.0

zkusil jsem na localhostu jednoho webu composer update a proběhlo to náramně

Loading composer repositories with package information
Updating dependencies
Lock file operations: 0 installs, 18 updates, 0 removals
 – Upgrading latte/latte (v2.8.1 ⇒ v2.10.3)
 – Upgrading nette/application (v3.0.5 ⇒ v3.1.3)
 – Upgrading nette/bootstrap (v3.0.2 ⇒ v3.1.1)
 – Upgrading nette/caching (v3.0.1 ⇒ v3.1.1)
 – Upgrading nette/database (v3.0.6 ⇒ v3.1.3)
 – Upgrading nette/di (v3.0.4 ⇒ v3.0.8)
 – Upgrading nette/forms (v3.0.5 ⇒ v3.1.3)
 – Upgrading nette/http (v3.0.4 ⇒ v3.1.1)
 – Upgrading nette/mail (v3.1.2 ⇒ v3.1.7)
 – Upgrading nette/neon (v3.1.2 ⇒ v3.2.2)
 – Upgrading nette/php-generator (v3.4.1 ⇒ v3.5.4)
 – Upgrading nette/robot-loader (v3.2.3 ⇒ v3.4.0)
 – Upgrading nette/routing (v3.0.0 ⇒ v3.0.2)
 – Upgrading nette/schema (v1.0.2 ⇒ v1.2.1)
 – Upgrading nette/security (v3.0.4 ⇒ v3.1.3)
 – Upgrading nette/tester (v2.3.2 ⇒ v2.4.0)
 – Upgrading nette/utils (v3.1.2 ⇒ v3.2.2)
 – Upgrading tracy/tracy (v2.7.5 ⇒ v2.8.5)
Writing lock file
Installing dependencies from lock file (including require-dev)
Package operations: 0 installs, 18 updates, 0 removals
 – Downloading latte/latte (v2.10.3)
 – Downloading nette/utils (v3.2.2)
 – Downloading nette/http (v3.1.1)
 – Downloading nette/routing (v3.0.2)
 – Downloading nette/application (v3.1.3)
 – Downloading nette/schema (v1.2.1)
 – Downloading nette/robot-loader (v3.4.0)
 – Downloading nette/php-generator (v3.5.4)
 – Downloading nette/neon (v3.2.2)
 – Downloading nette/di (v3.0.8)
 – Downloading nette/bootstrap (v3.1.1)
 – Downloading nette/caching (v3.1.1)
 – Downloading nette/database (v3.1.3)
 – Downloading nette/mail (v3.1.7)
 – Downloading nette/security (v3.1.3)
 – Downloading nette/tester (v2.4.0)
 – Downloading tracy/tracy (v2.8.5)
 – Downloading nette/forms (v3.1.3)
 – Upgrading latte/latte (v2.8.1 ⇒ v2.10.3): Extracting archive
 – Upgrading nette/utils (v3.1.2 ⇒ v3.2.2): Extracting archive
 – Upgrading nette/http (v3.0.4 ⇒ v3.1.1): Extracting archive
 – Upgrading nette/routing (v3.0.0 ⇒ v3.0.2): Extracting archive
 – Upgrading nette/application (v3.0.5 ⇒ v3.1.3): Extracting archive
 – Upgrading nette/schema (v1.0.2 ⇒ v1.2.1): Extracting archive
 – Upgrading nette/robot-loader (v3.2.3 ⇒ v3.4.0): Extracting archive
 – Upgrading nette/php-generator (v3.4.1 ⇒ v3.5.4): Extracting archive
 – Upgrading nette/neon (v3.1.2 ⇒ v3.2.2): Extracting archive
 – Upgrading nette/di (v3.0.4 ⇒ v3.0.8): Extracting archive
 – Upgrading nette/bootstrap (v3.0.2 ⇒ v3.1.1): Extracting archive
 – Upgrading nette/caching (v3.0.1 ⇒ v3.1.1): Extracting archive
 – Upgrading nette/database (v3.0.6 ⇒ v3.1.3): Extracting archive
 – Upgrading nette/mail (v3.1.2 ⇒ v3.1.7): Extracting archive
 – Upgrading nette/security (v3.0.4 ⇒ v3.1.3): Extracting archive
 – Upgrading nette/tester (v2.3.2 ⇒ v2.4.0): Extracting archive
 – Upgrading tracy/tracy (v2.7.5 ⇒ v2.8.5): Extracting archive
 – Upgrading nette/forms (v3.0.5 ⇒ v3.1.3): Extracting archive
Generating autoload files

Než vyvedu nějakou blbost na ostrém webu potřeboval bych poradit

1. je třeba upgradovat ostrý web, když původní verze byla 3.0.5?
2. pokud ano – mám na ostrý web přepsat složky nette, latte, tracy?
3. je třeba ještě něco dalšího, např. přepsání composer.json, composer.lock (ten byl upgradovan)?
4. nemůže dojít na ostrém webu k nějakému konfliktu, např. s verzí PHP nebo povolenými direktivami
5. jde to nějak jinak, např. spuštěním scriptu na ostrém serveru: patch-CVE-2020–15227.php?
6. pokud takto upgraduji i starší verze nette, jsou v tom upgradu zohledněny tyto starší verze (podle toho, co jsem četl, bych řekl, že ano)
7. prosím o jakoukoliv radu jak problém napříč weby vyřešit, dík