旅行者一号探测器在浩瀚的宇宙中享受星际之旅,飞行的几十年来它不仅看过许多景色,而且还用照片的形式记录下来了,人类喜出望外的同时发现旅行者一号发回神秘照片竟然透露着恐怖,这些照片有何恐怖之处呢?下面小编就和大家一起了解下吧!...
发布时间:2024-09-21 06:02:48
CVE-2020-5776/5777:Magento插件多安全漏洞分析
2020-09-06 12:14:28
来源:网络整理
作者:管理员
Magento是Adobe公司旗下一个功能丰富的专业开源电子商务解决方案,为商家提供一个外观、内容和功能的完全灵活控制。Magento直观的管理界面包含强大的营销、商品推销和内容管理工具,使商家能够创建适合其独特业务需求的站点。Magento号称宇宙最强企业终极电子商务解决方案。
Magmi是用PHP语言编写的Magento插件,用作Magento数据库客户端,可以向目录中增加商品数量或进行更新。Tenable研究人员在Magento插件Magmi中发现了2个安全漏洞。
漏洞分析
CVE-2020-5776
CVE-2020-5776漏洞是MAGMI插件中的CSRF(跨站请求伪造)漏洞,漏洞产生的原因是MAGMI的GET和POST端点没有进行CSRF保护,比如使用随机的CSRF token。攻击者利用该漏洞可以执行CSRF攻击,比如诱使Magento管理员点击攻击者用来认证MAGMI的恶意链接。此外,攻击者还可以劫持管理员的会话,在服务器上执行任意代码。
CVE-2020-5777
CVE-2020-5777是一个认证绕过漏洞,漏洞产生的原因是存在使用默认凭证的fallback降级机制,漏洞影响MAGMI v0.7.23版本及更早版本。
MAGMI使用HTTP基本认证,并对Magento数据库的admin_user表的用户名和密码进行检查。如果连接到Magento数据库失败,MAGMI就会接受默认凭证magmi:magmi。因此,攻击者可以通过数据库DoS(DB- DoS)攻击来迫使数据库连接失败,然后用默认凭证来认证MAGMI。
攻击者利用该漏洞可以在受害者设备上进行远程代码执行。研究人员在测试过程中满足以下条件时成功执行了Magento DB- DoS攻击:同时发生的最大MySQL连接数大于同时发生的最大Apache HTTP连接数。通过发送超过MySQL连接数限制、同时小于apache HTTP连接限制的最大值,攻击者就可以临时拦截对Magento数据库的访问,并同时用默认凭证发起到MAGMI 的认证请求。
MySQL的连接限制通过变量max_connections来定义,默认是151。可以通过连接到MySQL实例和执行如下数据库查询来检查该值:
SHOW VARIABLES LIKE "max_connections"
Apache HTTP连接限制位于Apache Multi-Processing Module (MPM)配置的“MaxRequestWorkers” (MaxClients 或 pm.max_children)中。
研究人员测试过程中发现,从Apache v2.4.10版本开始,默认值为400或250。在之前的版本中,默认值为150,小于MySQL的默认max_connections。
PoC
研究人员在GitHub上公布的漏洞的PoC代码,参见:
https://github.com/tenable/poc/tree/master/MAGMI/cve-2020-5777
https://github.com/tenable/poc/tree/master/MAGMI/cve-2020-5776
厂商回应
Tenable研究人员在6月3日将漏洞详情报告给了MAGMI插件开发者。随后于6月17日和7月6日分别收到反馈称漏洞正在修复中,随后没有反馈。8月30日,开发者在发布的插件新版本中修复了CVE-2020-5777漏洞,但CVE-2020-5776漏洞至今仍没有修复。
显示全文
相关文章
旅行者一号恐怖照片:渺小黯淡蓝点,恐怖源于未知
人类飞不出奥尔特星云?包围太阳系的云团(半径1光年)
随着科技的光速发展,人类不仅可以遁地还可以上天,甚至是飞跃地球,直奔太阳系而去,例如旅行者1号探测器穿越了太阳圈飞向更远的地方,不过人类始终都无法飞跃奥尔特星云,这到底是为何呢?接下来小编给大家科普一下吧!...
发布时间:2024-09-21 05:00:50
小行星11月接近地球 人们纷纷猜测小行星是否会撞上地球
曾经媒体就报道过在11月份的时候会有一个小行星慢慢的接近地球,11月是一个特殊的月份,既有天空中的奇观,还有美国的总统大选即将开始。但是这颗小星星,人们在猜想会在哪个地方与地球亲密的接触。然而,专业人士给出的答案是这颗小星星,不一定会完全的跟地球接触,不会相撞。...
发布时间:2024-09-04 01:02:11
病毒是生命吗?非细胞生命形态(核酸长链蛋白质外壳组成)
病毒与其他生命一样具有繁殖能力,但是无法独立生存,和其他生命有着很大的差别,那么病毒到底是不是生命呢?下面小编带大家来了解一下吧!...
发布时间:2024-07-21 14:00:15
灰叶猴是几级保护动物:一级(全身灰毛/生活在中国云南)
以叶子为主食的叶猴,相信很多人都听过,前面介绍了黑叶猴,我们今天要认识是灰叶猴,它毛色以灰色为主,生活在中国云南,近些年因为生活环境被破坏,数量也一度剧减,现已成为中国国家一级保护动物,碰到它们我们应该保护!...
发布时间:2024-07-19 00:00:09
人体器官结构图五脏六腑肾的位置 五脏六腑有不同的作用
人体有很多的器官,其中包括五脏以及六腑。这些器官每个人都有,但是也有个别的人出现畸形的情况,那么就会出现器官的缺失,有些人是先天性的,而有些人是由于后天的环境以及生活而影响。对于五脏六腑来讲,必须要达到完全健康,所以人的状态才会很好。每个人都要对自己的身体负责,所以不论是饮食还是工作都要合理。...
发布时间:2024-07-18 15:00:08
黑叶猴是几级保护动物,一级(全身黑色脸颊有白毛)
叶猴是指那种主要以叶子为食的猴子,它们有很多种,不过在中国只有6种叶猴,即白头叶猴、长尾叶猴、菲氏叶猴、戴帽叶猴、白臀叶猴和黑叶猴。今天小编重点为大家介绍黑叶猴,它除了手臂短外,长的跟白颊长臂猿相似,接下来一起去认识看看。...
发布时间:2024-07-15 18:00:08
斑林狸是保护动物吗,国家二级保护动物(不能当宠物养)
斑林狸是灵猫科、林狸属动物,它与大灵猫长的很相似,是一种毛皮色泽鲜亮,具有极佳观赏性的动物,让人看了就喜欢。不过随着人类的大量捕杀,还有生活环境的被破坏,斑林狸数量剧减,现已是国家二级保护动物,所以就算你遇到了也不要捉回家养,不然就犯法了!...
发布时间:2024-07-15 03:03:46
为您推荐
钱姓起源和来历:活了八百岁的彭祖竟然是钱氏祖先
钱姓排于百家姓中的第二位,虽然起源和来历并不多,但是钱姓人却分布广泛,成为了中国姓氏中的第二大姓。钱姓的主要来源就是彭祖的儿子篯孚,彭祖的真名叫做篯铿,是因为被尧封于大彭而得姓-彭,而他的儿子篯孚因为掌管着钱财,任职钱府上士,所以便为“钱”姓,所以彭钱是一家。...
发布时间:2024-09-20 20:03:27
胡服最早由谁引入中原?赵武灵王为推行骑射改革服饰
胡服最早是由春秋战国时的赵武灵王-赵雍引入中原的,因为当时赵国的地形和地理位置都非常不好,常年深受战争威胁,加上赵武灵王继位之后,时局不稳,周边国家都想要攻打赵国,所以赵武灵王便下令让全员都推行胡服,并且学习骑射,相较于宽大的汉服更加便于行动。...
发布时间:2024-09-20 19:05:44
赛艇运动起源于哪里?英国船工无聊时竞赛(造就贵族运动)
赛艇运动起源于英国的泰晤士河上,当时还是17世纪,英国泰晤士河上的船工在工作之余经常会举办一些赛船,久而久之就形成了一种习俗,在1715年的时候,为了庆祝英王的卫冕,所以第一次正式举办了赛艇比赛,最终在1775年发展为一个正式的运动项目,并且成立了相应的运动俱乐部。...
发布时间:2024-09-20 18:04:28
为什么不能用宸字取名?哪些名字普通人扛不起
人们之所以不愿意或者不敢以“宸”为名,主要是因为在古时候“宸”有着“深邃的房屋”的意思,也就是专指皇帝的居住场所,象征着无上的权力,所以“宸”字自然也就成为了禁忌,不过现代人大多是害怕这个字的气势,普通人的命格扛不住。...
发布时间:2024-09-20 17:00:53
商细蕊原型是谁?原来四位京剧名旦都是灵感来源
商细蕊是电视剧《鬓边不是海棠红》中的京剧名旦,很多人都为他和海归商人程凤台的知己故事而动容,但遗憾的是在历史长河中并没有商细蕊真正的原型,只能说他可能是作者根据历史上著名的京剧名旦构建的一个角色,因为他和梅兰芳、程砚秋、尚小云以及徐碧云等四人的经历和性格都有着极为相似之处。...
发布时间:2024-09-20 16:05:01
历史上著名的美女有哪些:杨玉环,君王不早朝(绝世美女)
在中华上下五千年的历史长河中,除了王朝更替的政治生活与文化生活,还有一些美貌的女子点缀着历史的绘卷,那么在悠悠岁月中有哪些著名的美女呢?下面小编就来为大家盘点一下吧!...
发布时间:2024-09-20 15:04:04
历史上妃嫔最少的皇帝:明孝宗朱佑樘,独爱张皇后(童年不幸)
谈及古代帝王,最让人津津乐道的当属那后宫佳丽三千,不过也不是所有的帝王都有那么充实的后宫,比如历史上有一位皇帝就只有一位妻子,是不是让人有点不敢相信,下面小编就带大家一起了解下吧!...
发布时间:2024-09-20 14:01:05
历史上最长情的皇帝:顺治皇帝,挚爱董鄂妃(为爱出家)
自古无情帝王家,说到帝王的爱情多是奢望,很多帝王后宫的妃子换了一个又一个,几乎都是薄情寡义的,但是漫长的历史长河中也有例外,有的皇帝便与众不同,特别的长情,下面小编来为大家介绍一下历史上最长情的皇帝吧!...
发布时间:2024-09-20 13:03:24
武侠剧中的绝世高手有哪些:扫地僧,化险为夷(秒杀高手)
可以说人的成长伴随着无数的武侠剧,尤其是电视剧中的那些绝世高手更是让人影响深刻,有不少人小时候都幻想过可以武功盖世,一统江湖,那么有人知道武侠剧中有哪些绝世高手吗?下面小编为大家盘点一下吧!...
发布时间:2024-09-20 12:02:19
电视剧中的古装美女:刘亦菲,举止摇曳生姿(天仙下凡)
古装电视剧中有许多的美丽的女子,她们身着美丽的衣裳,一举一动摇曳生姿,美得让人挪不开双眼,可以说是一场视觉盛宴,下面就让小编为大家盘点一下那些古装美女吧!...
发布时间:2024-09-20 11:09:01
清朝古装剧中的美人:刘诗诗,若曦无人超越(顾盼生姿)
近年清朝古装剧收视率暴涨,这些电视剧不仅剧情引人入胜,身着清装的美人也同样吸引了不少目光,有着让人过目不忘的美貌,那么清朝古装剧中有哪些美人呢?下面小编就来为大家盘点一下吧!...
发布时间:2024-09-20 11:02:08
小青龟能长多大:背甲14厘米,体色会变化(濒危物种)
养龟市场上经常可以看到小青龟,这种乌龟乖巧可爱以及性情温顺,所以很多人都会选择小青龟来饲养,不过一直都是见到小青龟都比较小,这不禁令人好奇这种乌龟能长多大?下面小编就带大家一起了解一下小青龟吧!...
发布时间:2024-09-20 10:01:47
