管理员密码以纯文本形式保存到操作日志

Last update: Fri Jun 13 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

本文修复了当Commerce管理员创建具有管理员权限的新用户并且密码在magento_logging_event_changes数据库表中保存为纯文本时。要修复此安全问题，请安装Adobe Commerce 2.0.16和2.1.9安全更新。应用安全更新后，密码将加密，不会显示为纯文本。

描述 description

环境

Adobe Commerce内部部署2.X.X
云基础架构上的Adobe Commerce 2.X.X

问题/症状

当现有Commerce管理员通过系统创建具有管理员权限的新用户时 > 权限 > 所有用户 > 添加新用户，密码（作为确认输入的）保存为magento_logging_event_changes数据库表中的纯文本。

重现问题的步骤

以管理员身份登录，并通过导航到以下路径创建新用户：系统 > 权限 > 所有用户.
然后单击 添加新用户 页面。提示时提供当前管理员的密码。
转到系统 > 操作日志 > 报告页并查找最后一个日志条目。
您可以查看当前密码，该密码既未加密，也未经过哈希处理。

解决方法 resolution

安装Adobe Commerce 2.0.16和2.1.9安全更新可修复此问题。

安装安全更新后，密码将加密，并且不会在magento_logging_event_changes表中以纯文本显示。

相关阅读

在我们的安全中心中Adobe Commerce 2.0.16和2.1.9安全更新页面
在开发人员文档中升级Adobe Commerce应用程序和组件
在Commerce实施行动手册中修改数据库表的最佳实践

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f