管理員密碼以純文字形式儲存至動作記錄檔
本文修正了Commerce管理員建立具有管理員許可權的新使用者,且密碼儲存為magento_logging_event_changes資料庫表格中的純文字時。 若要修正此安全性問題,請安裝Adobe Commerce 2.0.16和2.1.9安全性更新。 套用安全性更新後,密碼會加密,不會顯示為純文字。
說明 description
環境
- Adobe Commerce內部部署2.X.X
- 雲端基礎結構上的Adobe Commerce 2.X.X
問題/症狀
當現有的Commerce管理員透過 系統 建立具有管理員許可權的新使用者時 > 許可權 > 所有使用者 > 新增使用者,密碼(以確認方式輸入)已儲存為magento_logging_event_changes資料庫資料表中的純文字。
要再現的步驟
- 以系統管理員身分登入,並透過瀏覽至以下路徑來建立新使用者: 系統
>許可權>所有使用者.
- 然後按一下 新增使用者 頁面。 出現提示時,提供您目前的管理員密碼。
- 移至 系統
>動作記錄檔>報告 頁面,並尋找最後一個記錄專案。 - 您可以看到目前的密碼,既未加密亦未雜湊處理。
解決方法 resolution
安裝Adobe Commerce 2.0.16和2.1.9安全性更新可修正此問題。
安裝安全性更新後,密碼會加密,不會在magento_logging_event_changes表格中以純文字顯示。
相關閱讀
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f