CVSS: 6.6EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8232
https://notcve.org/view.php?id=CVE-2019-8232
In Magento prior to 1.9.4.3, Magento prior to 1.14.4.3, Magento 2.2 prior to 2.2.10, and Magento 2.3 prior to 2.3.3 or 2.3.2-p1, an authenticated user with administrative privileges for the import feature can execute arbitrary code through a race condition that allows webserver configuration file modification. En Magento versiones anteriores a la versión 1.9.4.3, Magento versiones anteriores a la versión 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10 y Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, un usuario autenticado con privilegios administrativos para la funcionalidad de importación puede ejecutar código arbitrario por medio de una condición de carrera que permite la modificación del archivo de configuración del servidor web. • https://magento.com/security/patches/supee-11219 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8233
https://notcve.org/view.php?id=CVE-2019-8233
In Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1, an unauthenticated user can inject arbitrary JavaScript code as a result of the sanitization engine ignoring HTML comments. En Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, un usuario no autenticado puede inyectar código JavaScript arbitrario como resultado de que el motor de saneamiento ignore los comentarios HTML. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8154
https://notcve.org/view.php?id=CVE-2019-8154
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to modify product catalogs can trigger PHP file inclusion through a crafted XML file that specifies product design update. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para modificar los catálogos de productos puede desencadenar una inclusión de archivos PHP por medio de un archivo XML diseñado que especifica la actualización del diseño del producto. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-829: Inclusion of Functionality from Untrusted Control Sphere •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8153
https://notcve.org/view.php?id=CVE-2019-8153
A mitigation bypass to prevent cross-site scripting (XSS) exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Successful exploitation of this vulnerability would result in an attacker being able to bypass the `escapeURL()` function and execute a malicious XSS payload. Existe una omisión de mitigación para impedir un ataque de tipo cross-site scripting (XSS) en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Una explotación con éxito de esta vulnerabilidad daría como resultado que un atacante pueda omitir la función "escapeURL()" y ejecutar una carga maliciosa de tipo XSS. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8152
https://notcve.org/view.php?id=CVE-2019-8152
A stored cross-site scripting (XSS) vulnerability exists in in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to the wysiwyg editor can abuse the blockDirective() function and inject malicious javascript in the cache of the admin dashboard. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versión 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con acceso al editor wysiwyg puede abusar de la función blockDirective() e inyectar JavaScript malicioso en la memoria caché del panel de administración. • https://magento.com/security/patches/supee-11219 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •