CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8147
https://notcve.org/view.php?id=CVE-2019-8147
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via customer attribute label. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la etiqueta de atributo de cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8146
https://notcve.org/view.php?id=CVE-2019-8146
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code when adding a new customer attribute for stores. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario al agregar un nuevo atributo de cliente para tiendas. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8144
https://notcve.org/view.php?id=CVE-2019-8144
A remote code execution vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can insert a malicious payload through PageBuilder template methods. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede insertar una carga maliciosa por medio de métodos de plantilla PageBuilder. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8143
https://notcve.org/view.php?id=CVE-2019-8143
A SQL injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to email templates can send malicious SQL queries and obtain access to sensitive information stored in the database. Se presenta una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con acceso a plantillas de correo electrónico puede enviar consultas SQL maliciosas y obtener acceso a información confidencial almacenada en la base de datos. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8142
https://notcve.org/view.php?id=CVE-2019-8142
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via title of an order when configuring sales payment methods for a store. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio del título de un pedido cuando se configuran métodos de pago de ventas para una tienda. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •