Mots de passe d’administrateur enregistrés en tant que texte brut dans le journal des actions
Cet article fournit un correctif pour lorsqu’un administrateur Commerce crée un utilisateur avec les privilèges d’administrateur et que le mot de passe est enregistré en texte brut dans la table de base de données magento_logging_event_changes.
Pour résoudre ce problème de sécurité, installez la mise à jour de sécurité Adobe Commerce 2.0.16 et 2.1.9. Après avoir appliqué la mise à jour de sécurité, les mots de passe sont chiffrés et n’apparaissent pas en texte brut.
Versions affectées Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce On-Premise 2.X.X
- Adobe Commerce sur l’infrastructure cloud 2.X.X
Problème Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
Lorsqu’un administrateur Commerce existant crée un nouvel utilisateur avec les privilèges d’administrateur via System > Permissions > All Users > Add new user, le mot de passe (saisi en tant que confirmation) est enregistré en texte brut dans la table de base de données magento_logging_event_changes.
Étapes à reproduire : Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
Connectez-vous en tant qu’administrateur et créez un nouvel utilisateur en accédant à ce chemin d’accès : Système > Autorisations > Tous les utilisateurs.
-
Cliquez ensuite sur la page Ajouter un nouvel utilisateur . Saisissez le mot de passe de l’administrateur actuel lorsque vous y êtes invité.
-
Accédez à la page System > Action Log > Report et recherchez la dernière entrée de journal.
-
Vous pouvez voir le mot de passe actuel, ni chiffré ni haché.
Solution Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
L’installation de la mise à jour de sécurité Adobe Commerce 2.0.16 et 2.1.9 corrige ce problème.
Après l'installation de la mise à jour de sécurité, le mot de passe est chiffré et ne s'affiche pas en texte brut dans la table magento_logging_event_changes.
Plus d'informations Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
- Page de mise à jour de sécurité Adobe Commerce 2.0.16 et 2.1.9 dans notre centre de sécurité
- Mettez à niveau l’application et les composants Adobe Commerce dans notre documentation destinée aux développeurs
- Bonnes pratiques pour la modification des tables de base de données dans le manuel de mise en oeuvre de Commerce