管理員密碼以純文字形式儲存至動作記錄檔

本文修正了Commerce管理員建立具有管理員許可權的新使用者,且密碼儲存為magento_logging_event_changes資料庫表格中的純文字時。

若要修正此安全性問題,請安裝Adobe Commerce 2.0.16和2.1.9安全性更新。 套用安全性更新後,密碼會加密,不會顯示為純文字。

受影響的版本 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions

  • Adobe Commerce內部部署2.X.X
  • 雲端基礎結構上的Adobe Commerce 2.X.X

問題 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue

當現有的Commerce管理員透過​ 系統 > 許可權 > 所有使用者 > 新增使用者 ​建立具有管理員許可權的新使用者時,密碼(以確認方式輸入)會儲存為純文字在magento_logging_event_changes資料庫表格中。

要再現的步驟: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce

  1. 以系統管理員身分登入,並透過瀏覽至以下路徑來建立新使用者: 系統 >許可權> 所有使用者

    add_user_magento_2.4.1.png

  2. 然後按一下​ 新增使用者 ​頁面。 出現提示時,提供您目前的管理員密碼。

  3. 移至​ 系統 > 動作記錄檔 > 報表 ​頁面,並尋找最後一個記錄專案。

  4. 您可以看到目前的密碼,既未加密亦未雜湊處理。

解決方案 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution

安裝Adobe Commerce 2.0.16和2.1.9安全性更新可修正此問題。

安裝安全性更新後,密碼會加密,不會在magento_logging_event_changes表格中以純文字顯示。

詳細資訊 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a