Senhas de administrador salvas como texto sem formatação no log de ações
Este artigo fornece uma correção para quando um Administrador do Commerce cria um novo usuário com privilégios de Administrador e a senha é salva como texto simples na tabela de banco de dados magento_logging_event_changes.
Para corrigir esse problema de segurança, instale a Atualização de segurança do Adobe Commerce 2.0.16 e 2.1.9. Após aplicar a Atualização de segurança, as senhas são criptografadas e não aparecem como texto simples.
Versões afetadas
- Adobe Commerce no local 2.X.X
- Adobe Commerce na infraestrutura em nuvem 2.X.X
Problema
Quando um Administrador do Commerce existente cria um novo usuário com privilégios de Administrador via Sistema > Permissões > Todos os usuários > Adicionar novo usuário, a senha (inserida como confirmação) é salva como texto sem formatação na tabela de banco de dados magento_logging_event_changes.
Etapas a serem reproduzidas:
-
Faça logon como Administrador e crie um novo usuário navegando até este caminho: Sistema > Permissões > Todos os usuários.
-
Depois clique na página Adicionar novo usuário. Quando solicitado, forneça sua senha de administrador atual.
-
Vá para a página Sistema > Log de Ações > Relatório e localize a última entrada do log.
-
Você pode ver a senha atual, não criptografada nem com hash.