Administratorkennwörter, die als normaler Text im Aktionsprotokoll gespeichert werden
Dieser Artikel enthält eine Korrektur für den Fall, dass ein Commerce-Administrator einen neuen Benutzer mit Administratorrechten erstellt und das Kennwort als Nur-Text in der Datenbanktabelle "magento_logging_event_changes
"gespeichert wird.
Um dieses Sicherheitsproblem zu beheben, installieren Sie das Sicherheitsupdate für Adobe Commerce 2.0.16 und 2.1.9. Nach Anwendung des Sicherheits-Updates werden die Kennwörter verschlüsselt und erscheinen nicht als Text.
Betroffene Versionen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce On-Premise 2.X.X
- Adobe Commerce auf Cloud-Infrastruktur 2.X.X
Problem Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
Wenn ein bestehender Commerce-Administrator einen neuen Benutzer mit Administratorrechten über System > Berechtigungen > Alle Benutzer > Neuen Benutzer hinzufügen erstellt, wird das (als Bestätigung eingegebene) Kennwort als Nur-Text in der Datenbanktabelle magento_logging_event_changes
gespeichert.
Zu reproduzierende Schritte: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
Melden Sie sich als Administrator an und erstellen Sie einen neuen Benutzer, indem Sie zu diesem Pfad navigieren: System > Berechtigungen > Alle Benutzer.
-
Klicken Sie dann auf die Seite Neuen Benutzer hinzufügen . Geben Sie bei Aufforderung das Kennwort Ihres aktuellen Administrators an.
-
Gehen Sie zur Seite System > Aktionsprotokoll > Bericht und suchen Sie den letzten Protokolleintrag.
-
Sie können das aktuelle Kennwort sehen, weder verschlüsselt noch gehasht.
Lösung Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
Durch die Installation von Adobe Commerce 2.0.16 und 2.1.9 Security Update wird dieses Problem behoben.
Nach der Installation des Sicherheits-Updates wird das Kennwort verschlüsselt und nicht im Klartext in der Tabelle magento_logging_event_changes
angezeigt.
Weitere Informationen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
Adobe Commerce 2.0.16 und 2.1.9 Sicherheits-Update-Seite in unserem Sicherheitscenter.
Aktualisieren Sie die Adobe Commerce-Anwendung und die Komponenten in unserer Entwicklerdokumentation.