CVSS: 7.2EPSS: 1%CPEs: 8EXPL: 0CVE-2019-8141
https://notcve.org/view.php?id=CVE-2019-8141
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with administrative privileges (system level import) can execute arbitrary code through a Phar deserialization vulnerability in the import functionality. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario aute... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8140
https://notcve.org/view.php?id=CVE-2019-8140
05 Nov 2019 — An unrestricted file upload vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can manipulate the Synchronization feature in the Media File Storage of the database to transform uploaded JPEG file into a PHP file. Existe una vulnerabilidad de carga de archivos sin restricciones en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede manipular la funcional... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8139
https://notcve.org/view.php?id=CVE-2019-8139
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary Javascript code into the dynamic block when invoking page builder on a product. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código Javascript arbitrario en el bloque dinámico cuando invocan al generador de páginas sobre un producto. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8138
https://notcve.org/view.php?id=CVE-2019-8138
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can execute arbitrary JavaScript code by providing arbitrary API endpoint that will not be chcecked by sale pickup event. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede ejecutar código JavaScript arbitrario a... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8137
https://notcve.org/view.php?id=CVE-2019-8137
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to manipulate CMS section of the website can trigger remote code execution via custom layout update. existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para manipular la sección CMS del sitio web puede activar una ... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8136
https://notcve.org/view.php?id=CVE-2019-8136
05 Nov 2019 — An insecure component vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Magento 2 codebase leveraged outdated versions of HTTP specification abstraction implemented in symphony component. Existe una vulnerabilidad de componente no seguro en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. La base de código de Magento versión 2 aprovechó versiones obsoletas de abstracción de especificación HTTP implementadas en el compo... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8135
https://notcve.org/view.php?id=CVE-2019-8135
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Dependency injection through Symphony framework allows service identifiers to be derived from user controlled data, which can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Una inyección de dependencia mediante el framework Symphony permite que los identif... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8134
https://notcve.org/view.php?id=CVE-2019-8134
05 Nov 2019 — A SQL injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. A user with marketing privileges can execute arbitrary SQL queries in the database when accessing email template variables. Existe una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario con privilegios de mercadeo puede ejecutar consultas SQL arbitrarias en la base de datos cuando accede a las variables de la p... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8133
https://notcve.org/view.php?id=CVE-2019-8133
05 Nov 2019 — A security bypass vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. A user with privileges to generate sitemaps can bypass configuration that restricts directory access. The bypass allows overwrite of a subset of configuration files which can lead to denial of service. Existe una vulnerabilidad de omisión de seguridad en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario con privilegios para generar sitemaps p... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8131
https://notcve.org/view.php?id=CVE-2019-8131
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code into code field of an inventory source. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario en el campo code de una fuente de inventario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •