CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8120
https://notcve.org/view.php?id=CVE-2019-8120
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user can inject arbitrary Javascript code by manipulating section of a POST request related to customer's email address. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado pu... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8119
https://notcve.org/view.php?id=CVE-2019-8119
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated admin user with import product privileges can delete files through bulk product import and inject code into XSLT file. The combination of these manipulations can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, M... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8118
https://notcve.org/view.php?id=CVE-2019-8118
05 Nov 2019 — Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 uses weak cryptographic function to store the failed login attempts for customer accounts. Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3, usa una función criptográfica débil para almacenar los intentos de inicio de sesión fallidos para cuentas de clientes. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8117
https://notcve.org/view.php?id=CVE-2019-8117
05 Nov 2019 — A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticates user can inject arbitrary JavaScript code via product view id specification. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la especificación del id de la vista d... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8116
https://notcve.org/view.php?id=CVE-2019-8116
05 Nov 2019 — Insecure authentication and session management vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can leverage a guest session id value following a successful login to gain access to customer account index page. Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede aprovechar un valor de id de s... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-384: Session Fixation •
CVSS: 4.8EPSS: 2%CPEs: 4EXPL: 0CVE-2019-8115
https://notcve.org/view.php?id=CVE-2019-8115
05 Nov 2019 — A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can inject arbitrary JavaScript code when adding an image for during simple product creation. Existe una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede inyectar código JavaScript arbitrario cuando ... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 1%CPEs: 8EXPL: 0CVE-2019-8114
https://notcve.org/view.php?id=CVE-2019-8114
05 Nov 2019 — A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to import features can execute arbitrary code via crafted configuration archive file upload. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuari... • https://magento.com/security/patches/supee-11219 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8113
https://notcve.org/view.php?id=CVE-2019-8113
05 Nov 2019 — Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1 uses cryptographically weak random number generator to brute-force the confirmation code for customer registration. Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, usa un generador de números aleatorios criptográficamente débil para llevar a cabo una fuerza-bruta en el código de confirmación para el registro del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8112
https://notcve.org/view.php?id=CVE-2019-8112
05 Nov 2019 — A security bypass vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can bypass the email confirmation mechanism via GET request that captures relevant account data obtained from the POST response related to new user creation. Existe una vulnerabilidad de omisión de seguridad en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede omitir el mecanismo de confirmación de... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 8.8EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8111
https://notcve.org/view.php?id=CVE-2019-8111
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage plugin functionality related to email templates to manipulate the interceptor class in a way that allows an attacker to execute arbitrary code. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar una funcionalidad del... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •