漏洞标题
N/A
漏洞描述信息
MAGMI版本在0.7.24之前是容易被远程身份验证绕过的,因为允许在数据库连接失败时使用默认密码。如果MySQL设置max_connections(默认151)低于Apache(或另一个Web服务器)设置MaxRequestWorkers(formerly MaxClients)(默认256),则远程攻击者可以触发此连接失败。可以通过向魔道网站发送至少151个并发请求来触发“过多连接”错误,然后使用默认的MAGMI:magmi基本身份验证来远程绕过身份验证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
MAGMI versions prior to 0.7.24 are vulnerable to a remote authentication bypass due to allowing default credentials in the event there is a database connection failure. A remote attacker can trigger this connection failure if the Mysql setting max_connections (default 151) is lower than Apache (or another web server) setting MaxRequestWorkers (formerly MaxClients) (default 256). This can be done by sending at least 151 simultaneous requests to the Magento website to trigger a "Too many connections" error, then use default magmi:magmi basic authentication to remotely bypass authentication.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MAGMI 插件授权问题漏洞
漏洞描述信息
Adobe MAGMI是美国奥多比(Adobe)公司的轻量级 UI 组件。 MAGMI 存在授权问题漏洞,该漏洞源于数据库连接失败时允许使用默认凭据。攻击者可以触发此连接失败从而绕过身份验证的身份验证。
CVSS信息
N/A
漏洞类别
授权问题