CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8140
https://notcve.org/view.php?id=CVE-2019-8140
An unrestricted file upload vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can manipulate the Synchronization feature in the Media File Storage of the database to transform uploaded JPEG file into a PHP file. Existe una vulnerabilidad de carga de archivos sin restricciones en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede manipular la funcionalidad Synchronization en el Almacenamiento de Archivos Multimedia de la base de datos para transformar el archivo JPEG cargado en un archivo PHP. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8138
https://notcve.org/view.php?id=CVE-2019-8138
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can execute arbitrary JavaScript code by providing arbitrary API endpoint that will not be chcecked by sale pickup event. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede ejecutar código JavaScript arbitrario al proveer un endpoint de la API arbitrario que no será comprobado mediante el evento de recolección de venta. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8137
https://notcve.org/view.php?id=CVE-2019-8137
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to manipulate CMS section of the website can trigger remote code execution via custom layout update. existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para manipular la sección CMS del sitio web puede activar una ejecución de código remota por medio de una actualización de diseño personalizada. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8136
https://notcve.org/view.php?id=CVE-2019-8136
An insecure component vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Magento 2 codebase leveraged outdated versions of HTTP specification abstraction implemented in symphony component. Existe una vulnerabilidad de componente no seguro en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. La base de código de Magento versión 2 aprovechó versiones obsoletas de abstracción de especificación HTTP implementadas en el componente symphony. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8135
https://notcve.org/view.php?id=CVE-2019-8135
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Dependency injection through Symphony framework allows service identifiers to be derived from user controlled data, which can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Una inyección de dependencia mediante el framework Symphony permite que los identificadores de servicio se deriven de datos controlados por parte del usuario, lo que puede conllevar a una ejecución de código remota. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •