ACSD-53414:制限付き管理者ユーザーが、自身の権限範囲外の CMS ページを表示できる

ACSD-53414 パッチでは、制限付きの管理者ユーザーが、自身の権限範囲外の CMS ページを表示できる問題を修正しました。 このパッチは、Quality Patches Tool (QPT) 1.1.40 がインストールされている場合に使用できます。 パッチ ID は ACSD-53414 です。 この問題はAdobe Commerce 2.4.7 で修正される予定であることに注意してください。

影響を受ける製品とバージョン

Adobe Commerce バージョン用のパッチが作成されます。

  • Adobe Commerce(すべてのデプロイメント方法) 2.4.6-p1

Adobe Commerce バージョンとの互換性:

  • Adobe Commerce(すべてのデプロイメント方法) 2.4.6 - 2.4.6-p3
NOTE
このパッチは、新しい Quality Patches Tool リリースを含む他のバージョンにも適用される可能性があります。 パッチがAdobe Commerceのバージョンと互換性があるかどうかを確認するには、magento/quality-patches パッケージを最新バージョンに更新し、Quality Patches Tool: Search for patches page で互換性を確認します。 パッチ ID を検索キーワードとして使用して、パッチを見つけます。

問題

制限付き管理者ユーザーは、権限範囲外の CMS ページも表示できます。

再現手順 :

  1. 新しい web サイト(sub_website)、ストア(sub_store)、ストレビュー(sub_storeview)を作成します。

  2. sub_expert ロールを作成して、sub_website および sub_store の範囲を許可します。 Dashboard および Pages の権限のみを割り当てます。

  3. 新しい管理者ユーザーを作成して、sub_expert ロールに割り当てます。

  4. 以下の CSM ページを sub_storereview と default storereview に割り当てます。

    • 404 Not Found > サブストアの確認
    • 503 Service Unavailable > デフォルトの storereview
  5. 手順 3 で作成した管理者ユーザーを使用して管理者にログインします。

  6. CMS ページグリッドを確認します。

期待される結果 :

503 Service Unavailable ページは、web 管理者には表示されません。

実際の結果 :

503 Service Unavailable は、web 管理者に表示されます。

パッチの適用

個々のパッチを適用するには、デプロイメント方法に応じて、次のリンクを使用します。

  • Adobe CommerceまたはMagento Open Sourceオンプレミス:Quality Patches Tool > Usage in the Quality Patches Tool guide.
  • クラウドインフラストラクチャー上のAdobe Commerce:クラウドインフラストラクチャー上のCommerce ガイドの アップグレードとパッチ/ パッチの適用」を参照してください。

関連資料

Quality Patches Tool について詳しくは、以下を参照してください。

QPT で使用可能なその他のパッチの詳細については、Quality Patches Tool ガイドの「Quality Patches Tool: Search for patches」を参照してください。

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a