Admin-Kennwörter im Aktionsprotokoll als Nur-Text gespeichert

Dieser Artikel bietet eine Fehlerbehebung für den Fall, dass ein Commerce-Administrator einen neuen Benutzer mit Administratorrechten erstellt und das Kennwort als Nur-Text in der magento_logging_event_changes-Datenbanktabelle gespeichert wird.

Um dieses Sicherheitsproblem zu beheben, installieren Sie das Sicherheitsupdate Adobe Commerce 2.0.16 und 2.1.9. Nach der Anwendung des Sicherheits-Updates werden die Kennwörter verschlüsselt und nicht als Klartext angezeigt.

Betroffene Versionen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions

  • Adobe Commerce On-Premises 2.X.X
  • Adobe Commerce auf Cloud-Infrastruktur 2.x.x

Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue

Wenn ein bestehender Commerce-Administrator einen neuen Benutzer mit Administratorrechten über System > Berechtigungen > Alle Benutzer > Neuen Benutzer hinzufügen erstellt, wird das Kennwort (eingegeben als Bestätigung) als Nur-Text in der magento_logging_event_changes Datenbanktabelle gespeichert.

Schritte zur Reproduktion: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce

  1. Melden Sie sich als Administrator an und erstellen Sie einen neuen Benutzer, indem Sie zu diesem Pfad navigieren: System > Berechtigungen > Alle Benutzer.

    add_user_magento_2.4.1.png

  2. Klicken Sie dann auf Seite „Neuen Benutzer hinzufügen. Geben Sie das Kennwort Ihres aktuellen Administrators ein, wenn Sie dazu aufgefordert werden.

  3. Navigieren Sie zur Seite System > Aktionsprotokoll > Bericht und suchen Sie den letzten Protokolleintrag.

  4. Sie können das aktuelle Kennwort sehen, weder verschlüsselt noch gehasht.

Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution

Dieses Problem wurde durch die Installation des Sicherheitsupdates Adobe Commerce 2.0.16 und.1.9 behoben.

Nach der Installation des Sicherheits-Updates wird das Kennwort verschlüsselt und nicht im Klartext in der magento_logging_event_changes angezeigt.

Weitere Informationen Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a