CVE-2022-24086 – Adobe Commerce and Magento Open Source Improper Input Validation Vulnerability
https://notcve.org/view.php?id=CVE-2022-24086
Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input validation vulnerability during the checkout process. Exploitation of this issue does not require user interaction and could result in arbitrary code execution. Adobe Commerce versiones 2.4.3-p1 (y anteriores) y 2.3.7-p2 (y anteriores), están afectadas por una vulnerabilidad de comprobación de entrada inapropiada durante el proceso de compra. Una explotación de este problema no requiere la interacción del usuario y podría resultar en una ejecución de código arbitrario Adobe Commerce and Magento Open Source contain an improper input validation vulnerability which can allow for arbitrary code execution. • https://github.com/Mr-xn/CVE-2022-24086 https://github.com/oK0mo/CVE-2022-24086-RCE-PoC https://github.com/nanaao/CVE-2022-24086-RCE https://github.com/pescepilota/CVE-2022-24086 https://github.com/NHPT/CVE-2022-24086-RCE https://github.com/akr3ch/CVE-2022-24086 https://github.com/rxerium/CVE-2022-24086 https://github.com/BurpRoot/CVE-2022-24086 https://github.com/seymanurmutlu/CVE-2022-24086-CVE-2022-24087 https://helpx.adobe.com/security/products/magento/apsb2 • CWE-20: Improper Input Validation •
CVE-2021-39864 – Adobe Commerce Cross-Site Request Forgery (CSRF) Could Lead To Unauthorized Cart Addition
https://notcve.org/view.php?id=CVE-2021-39864
Adobe Commerce versions 2.4.2-p2 (and earlier), 2.4.3 (and earlier) and 2.3.7p1 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via a Wishlist Share Link. Successful exploitation could lead to unauthorized addition to customer cart by an unauthenticated attacker. Access to the admin console is not required for successful exploitation. Adobe Commerce versiones 2.4.2-p2 (y anteriores), 2.4.3 (y anteriores) y 2.3.7p1 (y anteriores), están afectadas por una vulnerabilidad de tipo cross-site request forgery (CSRF) por medio de un Enlace para Compartir la Lista de Deseos. Una explotación con éxito podría conllevar a una adición no autorizada al carrito del cliente por parte de un atacante no autenticado. • https://helpx.adobe.com/security/products/magento/apsb21-86.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2021-36044 – Magento Commerce GraphQL Improper Input Validation Could Lead To Denial Of Service
https://notcve.org/view.php?id=CVE-2021-36044
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an improper input validation vulnerability. An unauthenticated attacker could abuse this vulnerability to cause a server-side denial-of-service using a GraphQL field. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de comprobación Inapropiada de Entrada. Un atacante no autenticado podría abusar de esta vulnerabilidad para causar una denegación de servicio del lado del servidor usando un campo GraphQL • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-20: Improper Input Validation •
CVE-2021-36027 – Magento Commerce Stored Cross-site Scripting Vulnerability
https://notcve.org/view.php?id=CVE-2021-36027
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by a stored cross-site scripting vulnerability that could be abused by an attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de tipo cross-site scripting almacenado que podría ser abusada por un atacante para inyectar scripts maliciosos en campos de formulario vulnerables. El JavaScript malicioso puede ser ejecutado en el navegador de una víctima cuando ésta navega a la página conteniendo el campo vulnerable • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-36043 – Magento Commerce Authenticated Blind SSRF Could Lead To Remote Code Execution
https://notcve.org/view.php?id=CVE-2021-36043
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by a blind SSRF vulnerability in the bundled dotmailer extension. An attacker with admin privileges could abuse this to achieve remote code execution should Redis be enabled. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de tipo SSRF ciega en la extensión dotmailer incluida. Un atacante con privilegios de administrador podría abusar de esto para lograr una ejecución de código remota si Redis está habilitado • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-918: Server-Side Request Forgery (SSRF) •