ACSD-60584:允许为一个网站创建的访问令牌访问其他网站上的信息
ACSD-60584修补程序修复了以下问题:在一个网站上为用户创建的访问令牌被允许访问或更改其他网站上的客户信息。 安装Quality Patches Tool (QPT) 1.1.53时,此修补程序可用。 修补程序ID为ACSD-60584。 请注意,该问题计划在Adobe Commerce 2.4.8中修复。
受影响的产品和版本
为Adobe Commerce版本创建了修补程序:
- Adobe Commerce(所有部署方法) 2.4.6-p1
与Adobe Commerce版本兼容:
- Adobe Commerce(所有部署方法) 2.4.5 - 2.4.6-p8
NOTE
该修补程序可能适用于具有新Quality Patches Tool发行版本的其他版本。 要检查修补程序是否与您的Adobe Commerce版本兼容,请将
magento/quality-patches包更新到最新版本,并在Quality Patches Tool:搜索修补程序页面上检查兼容性。 使用修补程序ID作为搜索关键字来查找修补程序。问题
在一个网站上为用户创建的API令牌允许您访问客户信息,创建购物车,以及在其他网站视图上将产品添加到购物车。
重现步骤:
- 确保 Share Customer Accounts configuration 设置为 Per Website。
- 创建其他 网站、商店 和 商店评论。
- 在上一步中,使用主 网站 和 网站 上的相同电子邮件创建两个客户。
- 通过主网站上的GraphQL生成客户令牌。
- 使用生成的令牌,发送带有标头中第二个网站的客户 GraphQL 查询以检索客户信息。
- 观察返回的结果。
预期的结果:
返回主 网站 中的客户信息,因为主 网站 中的令牌已在GraphQL查询中使用。
实际结果:
返回来自第二个网站的客户信息。
应用修补程序
要应用单独的修补程序,请根据您的部署方法使用以下链接:
- Adobe Commerce或Magento Open Source内部部署: Quality Patches Tool指南中的Quality Patches Tool >使用情况。
- 云基础架构上的Adobe Commerce:云基础架构上的Commerce指南中的升级和修补程序>应用修补程序。
相关阅读
要了解有关Quality Patches Tool的更多信息,请参阅:
- Quality Patches Tool 已发布:支持知识库中用于自助提供高质量修补程序的新工具。
- 使用Quality Patches Tool指南中的 Quality Patches Tool检查修补程序是否可用于您的Adobe Commerce问题。
有关QPT中其他可用修补程序的信息,请参阅Quality Patches Tool指南中的Quality Patches Tool:搜索修补程序。
recommendation-more-help
c2d96e17-5179-455c-ad3a-e1697bb4e8c3