Senhas de administrador salvas como texto sem formatação no log de ações
- Tópicos:
- Espaço de trabalho do administrador
Criado para:
- Desenvolvedor
Este artigo fornece uma correção para quando um Administrador do Commerce cria um novo usuário com privilégios de Administrador e a senha é salva como texto simples na tabela de banco de dados magento_logging_event_changes
.
Para corrigir esse problema de segurança, instale a Atualização de segurança do Adobe Commerce 2.0.16 e 2.1.9. Após aplicar a Atualização de segurança, as senhas são criptografadas e não aparecem como texto simples.
Versões afetadas
- Adobe Commerce no local 2.X.X
- Adobe Commerce na infraestrutura em nuvem 2.X.X
Problema
Quando um Administrador do Commerce existente cria um novo usuário com privilégios de Administrador via Sistema > Permissões > Todos os usuários > Adicionar novo usuário, a senha (inserida como confirmação) é salva como texto sem formatação na tabela de banco de dados magento_logging_event_changes
.
Etapas a serem reproduzidas:
-
Faça logon como Administrador e crie um novo usuário navegando até este caminho: Sistema > Permissões > Todos os usuários.
-
Depois clique na página Adicionar novo usuário. Quando solicitado, forneça sua senha de administrador atual.
-
Vá para a página Sistema > Log de Ações > Relatório e localize a última entrada do log.
-
Você pode ver a senha atual, não criptografada nem com hash.
Solução
A instalação da Atualização de Segurança do Adobe Commerce 2.0.16 e 2.1.9 corrige esse problema.
Depois de instalar a Atualização de Segurança, a senha é criptografada e não é exibida em texto sem formatação na tabela magento_logging_event_changes
.
Mais informações
- Página de Atualização de Segurança do Adobe Commerce 2.0.16 e 2.1.9 na nossa central de segurança
- Atualize o aplicativo e os componentes do Adobe Commerce em nossa documentação do desenvolvedor
- Práticas recomendadas para modificar tabelas de banco de dados no Manual de implementação do Commerce