CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8157
https://notcve.org/view.php?id=CVE-2019-8157
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can manipulate downloadable link and cause an invocation of error handling that acceses user input without sanitization. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede manipular un enlace descargable y causar una invocación de manejo de errores que acceda a la entrada del usuario sin saneamiento. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8156
https://notcve.org/view.php?id=CVE-2019-8156
A server-side request forgery (SSRF) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to modify store configurations can manipulate the connector api endpoint to enable remote code execution. Existe una vulnerabilidad de tipo server-side request forgery (SSRF) en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para modificar las configuraciones de la tienda puede manipular el endpoint de la API connector para permitir una ejecución de código remota. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.0EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8159
https://notcve.org/view.php?id=CVE-2019-8159
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with system data manipulation privileges can execute aribitrary code through arbitrary file deletion and OS command injection. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de manipulación de datos de sistema puede ejecutar código arbitrario mediante la eliminación de archivos arbitraria y la inyección de comandos de Sistema Operativo. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8227
https://notcve.org/view.php?id=CVE-2019-8227
In Magento prior to 1.9.4.3 and Magento prior to 1.14.4.3, an authenticated user with limited administrative privileges can inject arbitrary JavaScript code via import / export functionality when creating profile action XML. En Magento versiones anteriores a la versión 1.9.4.3 y Magento versiones anteriores a 1.14.4.3, un usuario autenticado con privilegios administrativos limitados puede inyectar código arbitrario de JavaScript por medio de la funcionalidad import / export cuando se crea un XML de acción de perfil. • https://magento.com/security/patches/supee-11219 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8228
https://notcve.org/view.php?id=CVE-2019-8228
in Magento prior to 1.9.4.3 and Magento prior to 1.14.4.3, an authenticated user with limited administrative privileges can inject arbitrary JavaScript code into transactional email page when creating a new email template or editing existing email template. en Magento versiones anteriores a la versión 1.9.4.3 y Magento versiones anteriores a la versión 1.14.4.3, un usuario autenticado con privilegios administrativos limitados puede inyectar código JavaScript arbitrario a la página de correo electrónico transaccional cuando se crea una nueva plantilla de correo electrónico o se edita la plantilla de correo electrónico existente. • https://magento.com/security/patches/supee-11219 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •