管理员密码以纯文本形式保存到操作日志

本文修复了当Commerce管理员创建具有管理员权限的新用户并且密码在magento_logging_event_changes数据库表中保存为纯文本时。

要修复此安全问题,请安装Adobe Commerce 2.0.16和2.1.9安全更新。 应用安全更新后,密码将加密,不会显示为纯文本。

受影响的版本 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions

  • Adobe Commerce内部部署2.X.X
  • 云基础架构上的Adobe Commerce 2.X.X

问题 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue

当现有Commerce管理员通过​ 系统 > 权限 > 所有用户 > 添加新用户 ​创建具有管理员权限的新用户时,密码(以确认形式输入)将保存为magento_logging_event_changes数据库表中的纯文本。

要再现的步骤: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce

  1. 以管理员身份登录,并通过导航到以下路径来创建新用户: 系统 >权限> 所有用户

    add_user_magento_2.4.1.png

  2. 然后单击​ 添加新用户 ​页面。 提示时提供当前管理员的密码。

  3. 转到​ 系统 > 操作日志 > 报告 ​页面并查找最后一个日志条目。

  4. 您可以查看当前密码,该密码既未加密,也未经过哈希处理。

解决方案 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution

安装Adobe Commerce 2.0.16和2.1.9安全更新可修复此问题。

安装安全更新后,密码将加密,并且不会在magento_logging_event_changes表中以纯文本显示。

更多信息 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a