Password amministratore salvate come testo normale nel registro delle azioni
Questo articolo corregge la creazione di un nuovo utente con privilegi di amministratore da parte di un amministratore di Commerce e il salvataggio della password come testo normale nella tabella del database magento_logging_event_changes. Per risolvere questo problema di sicurezza, installa Adobe Commerce 2.0.16 e 2.1.9 Security Update. Dopo aver applicato l'aggiornamento della protezione, le password vengono crittografate e non vengono visualizzate come testo normale.
Descrizione description
Ambiente
- Adobe Commerce on-premise 2.X.X
- Adobe Commerce sull’infrastruttura cloud 2.X.X
Problema/Sintomi
Quando un amministratore Commerce esistente crea un nuovo utente con i privilegi di amministratore tramite Sistema > Autorizzazioni > Tutti gli utenti > Aggiungi nuovo utente, la password (immessa come conferma) viene salvata come testo normale nella tabella del database magento_logging_event_changes.
Passaggi da riprodurre
- Accedi come amministratore e crea un nuovo utente passando a questo percorso: Sistema
>Autorizzazioni>Tutti gli utenti.
- Fare quindi clic sulla pagina Aggiungi nuovo utente. Immetti la password dell'amministratore corrente quando richiesto.
- Vai al sistema
>Registro azioni>Report pagina e trova l'ultima voce di log. - La password corrente è visibile, senza crittografia né hash.
Risoluzione resolution
Il problema è stato risolto installando Adobe Commerce 2.0.16 e 2.1.9 Security Update.
Dopo aver installato l'aggiornamento della sicurezza, la password viene crittografata e non viene visualizzata in testo normale nella tabella magento_logging_event_changes.
Lettura correlata
- Pagina di aggiornamento sulla sicurezza di Adobe Commerce 2.0.16 e 2.1.9 nel nostro centro sicurezza
- Aggiorna l'applicazione Adobe Commerce e i relativi componenti nella documentazione per gli sviluppatori
- Best practice per la modifica delle tabelle del database nel playbook di implementazione di Commerce