CVSS: 5.4EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8152
https://notcve.org/view.php?id=CVE-2019-8152
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to the wysiwyg editor can abuse the blockDirective() function and inject malicious javascript in the cache of the admin dashboard. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versión 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versione... • https://magento.com/security/patches/supee-11219 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8151
https://notcve.org/view.php?id=CVE-2019-8151
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to manipulate shippment settings can execute arbitrary code through server-side request forgery due to unsafe handling of a carrier gateway. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 8.8EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8150
https://notcve.org/view.php?id=CVE-2019-8150
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to manipulate layouts and images can insert a malicious payload into the page layout. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para manipular diseños e imágenes puede insertar una carga maliciosa en el di... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8149
https://notcve.org/view.php?id=CVE-2019-8149
05 Nov 2019 — Insecure authentication and session management vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can append arbitrary session id that will not be invalidated by subsequent authentication. Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede agregar un id de sesión arbitrario que no será invali... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-613: Insufficient Session Expiration •
CVSS: 4.8EPSS: 2%CPEs: 4EXPL: 0CVE-2019-8148
https://notcve.org/view.php?id=CVE-2019-8148
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can inject arbitrary JavaScript code when creating a content page via page builder. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede inyectar código JavaScript arbitrario cuando crea una página de contenido por medio del constructor de páginas. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8147
https://notcve.org/view.php?id=CVE-2019-8147
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via customer attribute label. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la etiqueta de atributo de cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8146
https://notcve.org/view.php?id=CVE-2019-8146
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code when adding a new customer attribute for stores. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario al agregar un nuevo atributo de ... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 2%CPEs: 4EXPL: 0CVE-2019-8144
https://notcve.org/view.php?id=CVE-2019-8144
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can insert a malicious payload through PageBuilder template methods. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede insertar una carga maliciosa por medio de métodos de plantilla PageBuilder. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8143
https://notcve.org/view.php?id=CVE-2019-8143
05 Nov 2019 — A SQL injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to email templates can send malicious SQL queries and obtain access to sensitive information stored in the database. Se presenta una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con acceso a plantillas de correo electrónico puede enviar consultas SQL maliciosa... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8142
https://notcve.org/view.php?id=CVE-2019-8142
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via title of an order when configuring sales payment methods for a store. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por med... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •