管理員密碼以純文字形式儲存至動作記錄檔
本文修正了Commerce管理員建立具有管理員許可權的新使用者,且密碼儲存為magento_logging_event_changes
資料庫表格中的純文字時。
若要修正此安全性問題,請安裝Adobe Commerce 2.0.16和2.1.9安全性更新。 套用安全性更新後,密碼會加密,不會顯示為純文字。
受影響的版本 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Affectedversions
- Adobe Commerce內部部署2.X.X
- 雲端基礎結構上的Adobe Commerce 2.X.X
問題 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Issue
當現有的Commerce管理員透過 系統 > 許可權 > 所有使用者 > 新增使用者 建立具有管理員許可權的新使用者時,密碼(以確認方式輸入)會儲存為純文字在magento_logging_event_changes
資料庫表格中。
要再現的步驟: Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Stepstoreproduce
-
以系統管理員身分登入,並透過瀏覽至以下路徑來建立新使用者: 系統 >許可權> 所有使用者。
-
然後按一下 新增使用者 頁面。 出現提示時,提供您目前的管理員密碼。
-
移至 系統 > 動作記錄檔 > 報表 頁面,並尋找最後一個記錄專案。
-
您可以看到目前的密碼,既未加密亦未雜湊處理。
解決方案 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Solution
安裝Adobe Commerce 2.0.16和2.1.9安全性更新可修正此問題。
安裝安全性更新後,密碼會加密,不會在magento_logging_event_changes
表格中以純文字顯示。
詳細資訊 Adminpasswordsaresavedasplaintexttoactionslog('magento_logging_event_changes'table)-Moreinformation
recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a