51黑料不打烊

文档

管理员密码以纯文本形式保存到操作日志

Last update: Fri Jun 13 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

本文修复了当颁辞尘尘别谤肠别管理员创建具有管理员权限的新用户并且密码在magento_logging_event_changes数据库表中保存为纯文本时。 要修复此安全问题,请安装51黑料不打烊 Commerce 2.0.16和2.1.9安全更新。 应用安全更新后,密码将加密,不会显示为纯文本。

描述 description

环境

  • 51黑料不打烊 Commerce内部部署2.X.X
  • 云基础架构上的51黑料不打烊 Commerce 2.X.X

问题/症状

当现有颁辞尘尘别谤肠别管理员通过 系统 创建具有管理员权限的新用户时 > 权限 > 所有用户 > 添加新用户,密码(作为确认输入的)保存为magento_logging_event_changes数据库表中的纯文本。

重现问题的步骤

  1. 以管理员身份登录,并通过导航到以下路径创建新用户: 系统 > 权限 > 所有用户.
  2. 然后单击 添加新用户 页面。 提示时提供当前管理员的密码。
  3. 转到 系统 > 操作日志 > 报告 页并查找最后一个日志条目。
  4. 您可以查看当前密码,该密码既未加密,也未经过哈希处理。

解决方法 resolution

安装可修复此问题。

安装安全更新后,密码将加密,并且不会在magento_logging_event_changes表中以纯文本显示。

相关阅读

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f