CVSS: 5.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8118
https://notcve.org/view.php?id=CVE-2019-8118
Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 uses weak cryptographic function to store the failed login attempts for customer accounts. Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3, usa una función criptográfica débil para almacenar los intentos de inicio de sesión fallidos para cuentas de clientes. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8114
https://notcve.org/view.php?id=CVE-2019-8114
A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to import features can execute arbitrary code via crafted configuration archive file upload. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para funcionalidades de importación puede ejecutar código arbitrario por medio de una carga de archivos de registro de configuración especialmente diseñada. • https://magento.com/security/patches/supee-11219 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8090
https://notcve.org/view.php?id=CVE-2019-8090
An arbitrary file deletion vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated users can manipulate the design layout update feature. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3. Unos usuarios autenticados pueden manipular la funcionalidad design layout update. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8235
https://notcve.org/view.php?id=CVE-2019-8235
An insecure direct object reference (IDOR) vulnerability exists in Magento 2.3 prior to 2.3.1, 2.2 prior to 2.2.8, and 2.1 prior to 2.1.17 versions. An authenticated user may be able to view personally identifiable shipping details of another user due to insufficient validation of user controlled input. Existe una vulnerabilidad de referencia directa a objeto (IDOR) no segura en Magento versiones 2.3 anteriores a 2.3.1, versiones 2.2 anteriores a 2.2.8 y versiones 2.1 anteriores a 2.1.17. Un usuario autenticado puede visualizar los detalles de envío identificables personalmente de otro usuario debido a una comprobación insuficiente de una entrada controlada por el usuario. • https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7853
https://notcve.org/view.php?id=CVE-2019-7853
A stored cross-site scripting vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the tax notifications configuration in the Magento admin panel. Se presenta una vulnerabilidad de cross-site scripting almacenada en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para la configuración de notificaciones de impuestos en el panel de administración de Magento. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-24 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •