管理者パスワードがアクションログにプレーンテキストとして保存される
ここでは、Commerce管理者が管理者権限で新しいユーザーを作成し、パスワードがプレーンテキストとして magento_logging_event_changes
データベーステーブルに保存される場合の修正点について説明します。
このセキュリティの問題を修正するには、Adobe Commerce 2.0.16 および 2.1.9 セキュリティアップデートをインストールしてください。 セキュリティ更新プログラムを適用した後、パスワードは暗号化され、プレーンテキストとして表示されません。
影響を受けるバージョン Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce オンプレミス 2.X.X
- クラウドインフラストラクチャー 2.X.X 上のAdobe Commerce
問題 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
既存のCommerce管理者が System/Permissions/All Users/Add new user で Administrator 権限を持つ新しいユーザーを作成すると、パスワード(確認として入力)は magento_logging_event_changes
データベーステーブルにプレーンテキストとして保存されます。
再現手順: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
管理者としてログインし、システム/権限/すべてのユーザー のパスに移動して新しいユーザーを作成します。
-
次に、「新しいユーザーを追加 ページをクリックします。 プロンプトが表示されたら、現在の管理者のパスワードを入力します。
-
システム/アクションログ/レポート ページに移動し、最後のログエントリを見つけます。
-
暗号化もハッシュ化もされていない、現在のパスワードが表示されます。
ソリューション Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
Adobe Commerce 2.0.16 および 2.1.9 セキュリティアップデートをインストールするとこの問題が修正されます。
セキュリティ更新プログラムのインストール後、パスワードが暗号化され、magento_logging_event_changes
テーブルにプレーンテキストで表示されなくなります。
の詳細 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
- セキュリティセンターのAdobe Commerce 2.0.16 および 2.1.9 セキュリティアップデートページ
- 開発者向けドキュメントの Adobe Commerce アプリケーションとコンポーネントのアップグレード
- Commerce実装プレイブックの データベーステーブルを変更する際のベストプラクティス