CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-9587
https://notcve.org/view.php?id=CVE-2020-9587
Magento versions 2.3.4 and earlier, 2.2.11 and earlier (see note), 1.14.4.4 and earlier, and 1.9.4.4 and earlier have an authorization bypass vulnerability. Successful exploitation could lead to potentially unauthorized product discounts. Magento versiones 2.3.4 y anteriores, versiones 2.2.11 y anteriores (ver nota), versiones 1.14.4.4 y anteriores, y versiones 1.9.4.4 y anteriores, presenta una vulnerabilidad de omisión de autorización. Una explotación con éxito podría conllevar a potencialmente descuentos de productos no autorizados • https://helpx.adobe.com/security/products/magento/apsb20-22.html •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2020-9584
https://notcve.org/view.php?id=CVE-2020-9584
Magento versions 2.3.4 and earlier, 2.2.11 and earlier (see note), 1.14.4.4 and earlier, and 1.9.4.4 and earlier have a stored cross-site scripting vulnerability. Successful exploitation could lead to sensitive information disclosure. Magento versiones 2.3.4 y anteriores, versiones 2.2.11 y anteriores (ver nota), versiones 1.14.4.4 y anteriores, y versiones 1.9.4.4 y anteriores, presenta una vulnerabilidad de tipo cross-site scripting almacenado. Una explotación con éxito podría conllevar a una divulgación de información confidencial • https://helpx.adobe.com/security/products/magento/apsb20-22.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-9579
https://notcve.org/view.php?id=CVE-2020-9579
Magento versions 2.3.4 and earlier, 2.2.11 and earlier (see note), 1.14.4.4 and earlier, and 1.9.4.4 and earlier have a security mitigation bypass vulnerability. Successful exploitation could lead to arbitrary code execution. Magento versiones 2.3.4 y anteriores, versiones 2.2.11 y anteriores (ver nota), versiones 1.14.4.4 y anteriores, y versiones 1.9.4.4 y anteriores, presenta una vulnerabilidad de omisión de mitigación de seguridad. Una explotación con éxito podría conllevar a una ejecución de código arbitraria • https://helpx.adobe.com/security/products/magento/apsb20-22.html •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-9585
https://notcve.org/view.php?id=CVE-2020-9585
Magento versions 2.3.4 and earlier, 2.2.11 and earlier (see note), 1.14.4.4 and earlier, and 1.9.4.4 and earlier have a defense-in-depth security mitigation vulnerability. Successful exploitation could lead to arbitrary code execution. Magento versiones 2.3.4 y anteriores, versiones 2.2.11 y anteriores (ver nota), versiones 1.14.4.4 y anteriores, y versiones 1.9.4.4 y anteriores, presenta una vulnerabilidad de mitigación de seguridad de tipo defense-in-depth. Una explotación con éxito podría conllevar a una ejecución de código arbitraria • https://helpx.adobe.com/security/products/magento/apsb20-22.html •
CVSS: 8.1EPSS: 10%CPEs: 2EXPL: 3CVE-2020-8818 – Magento WooCommerce CardGate Payment Gateway 2.0.30 Bypass
https://notcve.org/view.php?id=CVE-2020-8818
An issue was discovered in the CardGate Payments plugin through 2.0.30 for Magento 2. Lack of origin authentication in the IPN callback processing function in Controller/Payment/Callback.php allows an attacker to remotely replace critical plugin settings (merchant ID, secret key, etc.) and therefore bypass the payment process (e.g., spoof an order status by manually sending an IPN callback request with a valid signature but without real payment) and/or receive all of the subsequent payments. Se detectó un problema en el plugin CardGate Payments versiones hasta 2.0.30 para Magento 2. Una falta de autenticación de origen en la función de procesamiento de una devolución de llamada IPN en el archivo Controller/Payment/Callback.php, permite a un atacante reemplazar remotamente las configuraciones de plugin criticas (ID del comerciante, clave secreta , etc.) y, por lo tanto, omitir el proceso de pago (por ejemplo, falsificar el estado de un pedido enviando manualmente una petición de devolución de llamada IPN con una firma válida pero sin pago real) y/o recibir todos los pagos posteriores. Magento WooCommerce CardGate Payment Gateway version 2.0.30 suffers from a payment process bypass vulnerability. • http://packetstormsecurity.com/files/156505/Magento-WooCommerce-CardGate-Payment-Gateway-2.0.30-Bypass.html https://github.com/cardgate/magento2/blob/715979e54e1a335d78a8c5586f9e9987c3bf94fd/Controller/Payment/Callback.php#L88-L107 https://github.com/cardgate/magento2/issues/54 • CWE-346: Origin Validation Error •