管理员密码以纯文本形式保存到操作日志
本文修复了当Commerce管理员创建具有管理员权限的新用户并且密码在magento_logging_event_changes
数据库表中保存为纯文本时。
要修复此安全问题,请安装Adobe Commerce 2.0.16和2.1.9安全更新。 应用安全更新后,密码将加密,不会显示为纯文本。
受影响的版本 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce内部部署2.X.X
- 云基础架构上的Adobe Commerce 2.X.X
问题 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
当现有Commerce管理员通过 系统 > 权限 > 所有用户 > 添加新用户 创建具有管理员权限的新用户时,密码(以确认形式输入)将保存为magento_logging_event_changes
数据库表中的纯文本。
要再现的步骤: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
以管理员身份登录,并通过导航到以下路径来创建新用户: 系统 >权限> 所有用户。
-
然后单击 添加新用户 页面。 提示时提供当前管理员的密码。
-
转到 系统 > 操作日志 > 报告 页面并查找最后一个日志条目。
-
您可以查看当前密码,该密码既未加密,也未经过哈希处理。
解决方案 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
安装Adobe Commerce 2.0.16和2.1.9安全更新可修复此问题。
安装安全更新后,密码将加密,并且不会在magento_logging_event_changes
表中以纯文本显示。
更多信息 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a