CVSS: 8.8EPSS: 1%CPEs: 6EXPL: 0CVE-2019-8110
https://notcve.org/view.php?id=CVE-2019-8110
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage email templates hierarchy to manipulate the interceptor class in a way that allows an attacker to execute arbitrary code. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar la jerarquía de las plantillas de correo el... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 8.0EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8109
https://notcve.org/view.php?id=CVE-2019-8109
05 Nov 2019 — A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can craft a malicious CSRF payload that can result in arbitrary command execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede crear una carga útil de tipo CSRF maliciosa que puede resultar en la ejecución de comandos arbitraria. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8108
https://notcve.org/view.php?id=CVE-2019-8108
05 Nov 2019 — Insecure authentication and session management vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can manipulate session validation setting for a storefront that leads to insecure authentication and session management. Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede manipular la configuración d... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8107
https://notcve.org/view.php?id=CVE-2019-8107
05 Nov 2019 — An arbitrary file deletion vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with export data transfer privileges can craft a request to perform arbitrary file deletion. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de transferencia de datos de exportación puede diseñar una petición para r... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 7.2EPSS: 1%CPEs: 2EXPL: 0CVE-2019-8091
https://notcve.org/view.php?id=CVE-2019-8091
05 Nov 2019 — A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3. An authenticated admin user with privileges to access product attributes can leverage layout updates to trigger remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a la versión 1.9.4.3 y 1.14.4.3. Un usuario administrador autenticado con privilegios para acceder a los atributos del producto puede aprovechar las actualizaciones de diseño para activar la ejecuci... • https://magento.com/security/patches/supee-11219 •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8093
https://notcve.org/view.php?id=CVE-2019-8093
05 Nov 2019 — An arbitrary file access vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage file upload controller for downloadable products to read/delete an arbitary files. Existe una vulnerabilidad de acceso de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar el controlador de carga de archivos para los productos descargables para la l... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8092
https://notcve.org/view.php?id=CVE-2019-8092
05 Nov 2019 — A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via email template preview. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versiones 2.2 anteriores a la versión2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la vista previa de la plantilla ... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8090
https://notcve.org/view.php?id=CVE-2019-8090
05 Nov 2019 — An arbitrary file deletion vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated users can manipulate the design layout update feature. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3. Unos usuarios autenticados pueden manipular la funcionalidad design layout... • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8235
https://notcve.org/view.php?id=CVE-2019-8235
29 Oct 2019 — An insecure direct object reference (IDOR) vulnerability exists in Magento 2.3 prior to 2.3.1, 2.2 prior to 2.2.8, and 2.1 prior to 2.1.17 versions. An authenticated user may be able to view personally identifiable shipping details of another user due to insufficient validation of user controlled input. Existe una vulnerabilidad de referencia directa a objeto (IDOR) no segura en Magento versiones 2.3 anteriores a 2.3.1, versiones 2.2 anteriores a 2.2.8 y versiones 2.1 anteriores a 2.1.17. Un usuario autenti... • https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7853
https://notcve.org/view.php?id=CVE-2019-7853
02 Aug 2019 — A stored cross-site scripting vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the tax notifications configuration in the Magento admin panel. Se presenta una vulnerabilidad de cross-site scripting almacenada en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario aute... • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •