Administratörslösenord sparade som oformaterad text i åtgärdsloggen
Den här artikeln innehåller en korrigering för när en Commerce-administratör skapar en ny användare med administratörsbehörighet och lösenordet sparas som oformaterad text i databastabellen magento_logging_event_changes. Installera säkerhetsuppdateringen för Adobe Commerce 2.0.16 och 2.1.9 för att åtgärda det här säkerhetsproblemet. När säkerhetsuppdateringen har tillämpats krypteras lösenorden och visas inte som oformaterad text.
Beskrivning description
Miljö
- Adobe Commerce lokal 2.X.X
- Adobe Commerce i molninfrastruktur 2.X.X
Problem/symtom
När en befintlig Commerce-administratör skapar en ny användare med administratörsbehörighet via System > Behörigheter > Alla användare > Lägg till ny användare. Lösenordet (anges som en bekräftelse) sparas som oformaterad text i databastabellen magento_logging_event_changes.
Steg som ska återskapas
- Logga in som administratör och skapa en ny användare genom att navigera till den här sökvägen: System
>Behörigheter>Alla användare.
- Klicka sedan på sidan Lägg till ny användare. Ange den aktuella administratörens lösenord när du uppmanas till det.
- Gå till System
>Åtgärdslogg>Rapportsida och hitta den senaste loggposten. - Du kan se det aktuella lösenordet, varken krypterat eller hashas.
Upplösning resolution
Problemet åtgärdas genom att Adobe Commerce 2.0.16 och 2.1.9-säkerhetsuppdateringen installeras.
När säkerhetsuppdateringen har installerats krypteras lösenordet och visas inte i oformaterad text i tabellen magento_logging_event_changes.
Relaterad läsning
- Adobe Commerce 2.0.16 och 2.1.9 Security Update page i vårt säkerhetscenter
- Uppgradera Adobe Commerce-programmet och -komponenterna i utvecklardokumentationen
- Metodtips för att ändra databastabeller i Commerce Implementeringspellbook