CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8155
https://notcve.org/view.php?id=CVE-2019-8155
Magento prior to 1.9.4.3 and prior to 1.14.4.3 included a user's CSRF token in the URL of a GET request. This could be exploited by an attacker with access to network traffic to perform unauthorized actions. Magento versiones anteriores a la versión 1.9.4.3 y versiones anterior a 1.14.4.3, incluía el token de CSRF de un usuario en la URL de una petición GET. Esto podría ser explotado por parte de un atacante con acceso al tráfico de red para realizar acciones no autorizadas. • https://magento.com/security/patches/supee-11219 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8152
https://notcve.org/view.php?id=CVE-2019-8152
A stored cross-site scripting (XSS) vulnerability exists in in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to the wysiwyg editor can abuse the blockDirective() function and inject malicious javascript in the cache of the admin dashboard. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versión 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con acceso al editor wysiwyg puede abusar de la función blockDirective() e inyectar JavaScript malicioso en la memoria caché del panel de administración. • https://magento.com/security/patches/supee-11219 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8125
https://notcve.org/view.php?id=CVE-2019-8125
A remote code execution vulnerability exists in Magento 1 prior to 1.9.x and 1.14.x. An authenticated admin user can modify configuration parameters via crafted support configuration. The modification can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.x y 1.14.x. Un usuario administrador autenticado puede modificar los parámetros de configuración por medio de una configuración de soporte diseñada. • https://magento.com/security/patches/supee-11219 •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8123
https://notcve.org/view.php?id=CVE-2019-8123
An insufficient logging and monitoring vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. The logging feature required for effective monitoring did not contain sufficent data to effectively track configuration changes. Existe una vulnerabilidad de registro y monitoreo insuficiente en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La funcionalidad de registro requerida para un monitoreo efectivo no contenía suficientes datos para rastrear efectivamente los cambios de configuración. • https://magento.com/security/patches/supee-11219 •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8114
https://notcve.org/view.php?id=CVE-2019-8114
A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to import features can execute arbitrary code via crafted configuration archive file upload. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para funcionalidades de importación puede ejecutar código arbitrario por medio de una carga de archivos de registro de configuración especialmente diseñada. • https://magento.com/security/patches/supee-11219 • CWE-434: Unrestricted Upload of File with Dangerous Type •