Administratorkennwörter, die als normaler Text im Aktionsprotokoll gespeichert werden

Dieser Artikel enthält eine Fehlerbehebung für das Erstellen eines neuen Benutzers durch einen Commerce-Administrator mit Administratorrechten und das Kennwort wird als Nur-Text im magento_logging_event_changes Datenbanktabelle.

Um dieses Sicherheitsproblem zu beheben, installieren Sie das Sicherheitsupdate für Adobe Commerce 2.0.16 und 2.1.9. Nach Anwendung des Sicherheits-Updates werden die Kennwörter verschlüsselt und erscheinen nicht als Text.

Betroffene Versionen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions

  • Adobe Commerce On-Premise 2.X.X
  • Adobe Commerce auf Cloud-Infrastruktur 2.X.X

Problem Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue

Wenn ein bestehender Commerce-Administrator einen neuen Benutzer erstellt, der über die Administratorrechte verfügt System > Berechtigungen > Alle Benutzer > Neuen Benutzer hinzufügen, wird das (als Bestätigung eingegebene) Kennwort als Nur-Text im magento_logging_event_changes Datenbanktabelle.

Zu reproduzierende Schritte: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce

  1. Melden Sie sich als Administrator an und erstellen Sie einen neuen Benutzer, indem Sie zu diesem Pfad navigieren: System > Berechtigungen > Alle Benutzer.

    add_user_magento_2.4.1.png

  2. Klicken Sie anschließend auf Neuen Benutzer hinzufügen Seite. Geben Sie bei Aufforderung das Kennwort Ihres aktuellen Administrators an.

  3. Navigieren Sie zu System > Aktionsprotokoll > Bericht und suchen Sie den letzten Protokolleintrag.

  4. Sie können das aktuelle Kennwort sehen, weder verschlüsselt noch gehasht.

Lösung Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution

Installieren der Sicherheitsupdate für Adobe Commerce 2.0.16 und 2.1.9 behebt dieses Problem.

Nach der Installation des Sicherheits-Updates wird das Kennwort verschlüsselt und nicht im Klartext im magento_logging_event_changes Tabelle.

Weitere Informationen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation

Adobe Commerce 2.0.16 und 2.1.9 Sicherheits-Update-Seite in unserem Sicherheitszentrum.

Aktualisieren der Adobe Commerce-Anwendung und -Komponenten in unserer Entwicklerdokumentation.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a