管理者パスワードがアクションログにプレーンテキストとして保存される
ここでは、Commerce管理者が管理者権限で新しいユーザーを作成し、パスワードがプレーンテキストとして magento_logging_event_changes データベーステーブルに保存される場合の修正点について説明します。 このセキュリティの問題を修正するには、Adobe Commerce 2.0.16 および 2.1.9 セキュリティアップデートをインストールしてください。 セキュリティ更新プログラムを適用した後、パスワードは暗号化され、プレーンテキストとして表示されません。
説明 description
環境
- Adobe Commerce オンプレミス 2.X.X
- クラウドインフラストラクチャー 2.X.X 上のAdobe Commerce
問題/症状
既存のCommerce管理者が System を介して管理者権限を持つ新しいユーザーを作成する場合 > 権限 > すべてのユーザー 新規ユーザーを追加 する >、パスワード(確認として入力)は、magento_logging_event_changes データベーステーブルにプレーンテキストとして保存されます。
再現手順
- 管理者としてログインし、System のパスに移動して新しいユーザーを作成します。
>権限>すべてのユーザー .
- 次に、「 新しいユーザーを追加 ページをクリックします。 プロンプトが表示されたら、現在の管理者のパスワードを入力します。
- システム に移動します
>アクション ログ レポ>ト ページを開いて、最後のログエントリを見つけます。 - 暗号化もハッシュ化もされていない、現在のパスワードが表示されます。
解決策 resolution
Adobe Commerce 2.0.16 および 2.1.9 セキュリティアップデートをインストールすると この問題が修正されます。
セキュリティ更新プログラムのインストール後、パスワードが暗号化され、magento_logging_event_changes テーブルにプレーンテキストで表示されなくなります。
関連資料
- セキュリティセンターのAdobe Commerce 2.0.16 および 2.1.9 セキュリティアップデート ページ
- 開発者向けドキュメントの Adobe Commerce アプリケーションとコンポーネントのアップグレード
- Commerce実装プレイブックの データベーステーブルを変更する際のベストプラクティス
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f