CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-36027 – Magento Commerce Stored Cross-site Scripting Vulnerability
https://notcve.org/view.php?id=CVE-2021-36027
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by a stored cross-site scripting vulnerability that could be abused by an attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de tipo cross-site scripting almacenado que podría ser abusada por un atacante para inyectar scripts maliciosos en campos de formulario vulnerables. El JavaScript malicioso puede ser ejecutado en el navegador de una víctima cuando ésta navega a la página conteniendo el campo vulnerable • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-36043 – Magento Commerce Authenticated Blind SSRF Could Lead To Remote Code Execution
https://notcve.org/view.php?id=CVE-2021-36043
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by a blind SSRF vulnerability in the bundled dotmailer extension. An attacker with admin privileges could abuse this to achieve remote code execution should Redis be enabled. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de tipo SSRF ciega en la extensión dotmailer incluida. Un atacante con privilegios de administrador podría abusar de esto para lograr una ejecución de código remota si Redis está habilitado • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-36042 – Magento Commerce API File Option Upload Extension Improper Input Validation Vulnerability Could Lead To Remote Code Execution
https://notcve.org/view.php?id=CVE-2021-36042
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an improper input validation vulnerability in the API File Option Upload Extension. An attacker with Admin privileges can achieve unrestricted file upload which can result in remote code execution. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de comprobación Inapropiada de Entrada en la extensión API File Option Upload. Un atacante con privilegios de administrador puede lograr una carga de archivos sin restricciones, que puede resultar en una ejecución de código remota • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-20: Improper Input Validation CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-36030 – Magento Commerce Improper Input Validation During Checkout Process Could Lead To Privilege Escalation
https://notcve.org/view.php?id=CVE-2021-36030
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an improper input validation vulnerability during the checkout process. An unauthenticated attacker can leverage this vulnerability to alter the price of items. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de comprobación Inapropiada de Entrada durante el proceso de compra. Un atacante no autenticado puede aprovechar esta vulnerabilidad para alterar el precio de los artículos • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-36041 – Magento Commerce Improper Input Validation Could Lead To Remote Code Execution
https://notcve.org/view.php?id=CVE-2021-36041
Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an improper input validation vulnerability. An attacker with admin privileges could upload a specially crafted file in the 'pub/media` directory could lead to remote code execution. Magento Commerce versiones 2.4.2 (y anteriores), versiones 2.4.2-p1 (y anteriores), y versiones 2.3.7 (y anteriores), están afectadas por una vulnerabilidad de comprobación Inapropiada de Entrada. Un atacante con privilegios de administrador podría cargar un archivo especialmente diseñado en el directorio "pub/media" que podría conllevar a una ejecución de código remota • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-20: Improper Input Validation •