CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8143
https://notcve.org/view.php?id=CVE-2019-8143
A SQL injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to email templates can send malicious SQL queries and obtain access to sensitive information stored in the database. Se presenta una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con acceso a plantillas de correo electrónico puede enviar consultas SQL maliciosas y obtener acceso a información confidencial almacenada en la base de datos. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8142
https://notcve.org/view.php?id=CVE-2019-8142
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via title of an order when configuring sales payment methods for a store. Se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio del título de un pedido cuando se configuran métodos de pago de ventas para una tienda. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8141
https://notcve.org/view.php?id=CVE-2019-8141
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with administrative privileges (system level import) can execute arbitrary code through a Phar deserialization vulnerability in the import functionality. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado con privilegios administrativos (nivel de sistema import) puede ejecutar código arbitrario por medio de una vulnerabilidad de deserialización de Phar en la funcionalidad import. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8140
https://notcve.org/view.php?id=CVE-2019-8140
An unrestricted file upload vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can manipulate the Synchronization feature in the Media File Storage of the database to transform uploaded JPEG file into a PHP file. Existe una vulnerabilidad de carga de archivos sin restricciones en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede manipular la funcionalidad Synchronization en el Almacenamiento de Archivos Multimedia de la base de datos para transformar el archivo JPEG cargado en un archivo PHP. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8139
https://notcve.org/view.php?id=CVE-2019-8139
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary Javascript code into the dynamic block when invoking page builder on a product. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código Javascript arbitrario en el bloque dinámico cuando invocan al generador de páginas sobre un producto. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •