ACSD-60584:ある web サイト用に作成されたアクセストークンが、他の web サイトの情報にアクセスできます
ACSD-60584 パッチは、ある web サイト上のユーザー用に作成されたアクセストークンが、他の web サイト上の顧客情報にアクセスしたり、変更したりできる問題を修正します。 このパッチは、Quality Patches Tool (QPT) 1.1.53 がインストールされている場合に使用できます。 パッチ ID は ACSD-60584 です。 この問題はAdobe Commerce 2.4.8 で修正される予定であることに注意してください。
影響を受ける製品とバージョン
Adobe Commerce バージョン用のパッチが作成されます。
- Adobe Commerce(すべてのデプロイメント方法) 2.4.6-p1
Adobe Commerce バージョンとの互換性:
- Adobe Commerce(すべてのデプロイメント方法) 2.4.5 ~ 2.4.6-p8
NOTE
このパッチは、新しい Quality Patches Tool リリースを含む他のバージョンにも適用される可能性があります。 パッチがAdobe Commerceのバージョンと互換性があるかどうかを確認するには、
magento/quality-patches パッケージを最新バージョンに更新し、Quality Patches Tool: Search for patches page で互換性を確認します。 パッチ ID を検索キーワードとして使用して、パッチを見つけます。問題
ある web サイトでユーザー用に作成された API トークンを使用すると、顧客情報へのアクセス、買い物かごの作成、他の web サイト表示での買い物かごへの製品の追加が可能になります。
再現手順 :
- Share Customer Accounts configuration が Per Website に設定されていることを確認します。
- 追加の web サイト、ストア および ストレビュー を作成します。
- 前の手順で、メインの web サイト と web サイト に同じメールを持つ 2 つの顧客を作成します。
- メイン web サイトの GraphQL を使用して顧客トークンを生成します。
- 生成されたトークンを使用して、顧客情報を取得する 2 番目の web サイトをヘッダーに含む顧客 GraphQL クエリを送信します。
- 返された結果を確認します。
期待される結果 :
メインの web サイト からのトークンがクエリで使用されているので、メインの web サイト からの顧客情報 GraphQL 返されます。
実際の結果 :
2 番目の Web サイトからの顧客情報が返されます。
パッチの適用
個々のパッチを適用するには、デプロイメント方法に応じて、次のリンクを使用します。
- Adobe CommerceまたはMagento Open Sourceオンプレミス:Quality Patches Tool > Usage in the Quality Patches Tool guide.
- クラウドインフラストラクチャー上のAdobe Commerce:クラウドインフラストラクチャー上のCommerce ガイドの アップグレードとパッチ/ パッチの適用」を参照してください。
関連資料
Quality Patches Tool について詳しくは、以下を参照してください。
- Quality Patches Tool リリース済み:品質パッチをセルフサービスで提供する新しいツールをサポートナレッジベースから入手できます。
- を使用して、Adobe Commerceの問題にパッチが適用できるかどうかを確認します Quality Patches Tool (Quality Patches Tool ガイド)。
QPT で使用可能なその他のパッチの詳細については、Quality Patches Tool ガイドの「Quality Patches Tool: Search for patches」を参照してください。
recommendation-more-help
c2d96e17-5179-455c-ad3a-e1697bb4e8c3