Password amministratore salvate come testo normale nel registro delle azioni
Questo articolo corregge la creazione di un nuovo utente con privilegi di amministratore da parte di un amministratore di Commerce e il salvataggio della password come testo normale nella tabella del database magento_logging_event_changes
.
Per risolvere questo problema di sicurezza, installa Adobe Commerce 2.0.16 e 2.1.9 Security Update. Dopo aver applicato l'aggiornamento della protezione, le password vengono crittografate e non vengono visualizzate come testo normale.
Versioni interessate Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce on-premise 2.X.X
- Adobe Commerce sull’infrastruttura cloud 2.X.X
Problema Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
Quando un amministratore Commerce esistente crea un nuovo utente con privilegi di amministratore tramite Sistema > Autorizzazioni > Tutti gli utenti > Aggiungi nuovo utente, la password (immessa come conferma) viene salvata come testo normale nella tabella del database magento_logging_event_changes
.
Passaggi da riprodurre: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
Accedi come amministratore e crea un nuovo utente passando a questo percorso: Sistema > Autorizzazioni > Tutti gli utenti.
-
Fare quindi clic sulla pagina Aggiungi nuovo utente. Fornisci la password dell'amministratore corrente quando richiesto.
-
Vai alla pagina Sistema > Registro azioni > Rapporto e trova l'ultima voce di registro.
-
La password corrente è visibile, senza crittografia né hash.
Soluzione Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
Il problema è stato risolto installando Adobe Commerce 2.0.16 e 2.1.9 Security Update.
Dopo aver installato l'aggiornamento della sicurezza, la password viene crittografata e non viene visualizzata in testo normale nella tabella magento_logging_event_changes
.
Ulteriori informazioni Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
- Pagina di aggiornamento sulla sicurezza di Adobe Commerce 2.0.16 e 2.1.9 nel nostro centro sicurezza
- Aggiorna l'applicazione Adobe Commerce e i relativi componenti nella documentazione per gli sviluppatori
- Best practice per la modifica delle tabelle del database nel playbook di implementazione di Commerce