CVE-2019-7882
https://notcve.org/view.php?id=CVE-2019-7882
A stored cross-site scripting vulnerability exists in the WYSIWYG editor of Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with privileges to the editor can inject malicious SWF files. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el editor WYSIWYG de Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios para el editor puede inyectar archivos SWF maliciosos. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7875
https://notcve.org/view.php?id=CVE-2019-7875
A stored cross-site scripting vulnerability exists in the admin panel of Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to newsletter templates. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para las plantillas de boletines informativos. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7849
https://notcve.org/view.php?id=CVE-2019-7849
A defense-in-depth check was added to mitigate inadequate session validation handling by 3rd party checkout modules. This impacts Magento 1.x prior to 1.9.4.2, Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9 and Magento 2.3 prior to 2.3.2. Se agregó una verificación de defensa en profundidad para mitigar el manejo inapropiado de la comprobación de la sesión por parte de módulos de pago de terceros. Esto afecta a Magento versiones 1.x anteriores a 1.9.4.2, Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9 y Magento versiones 2.3 anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-384: Session Fixation •
CVE-2019-7139
https://notcve.org/view.php?id=CVE-2019-7139
An unauthenticated user can execute SQL statements that allow arbitrary read access to the underlying database, which causes sensitive data leakage. This issue is fixed in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Un usuario no autenticado puede ejecutar sentencias SQL que permiten el acceso de lectura arbitraria a la base de datos subyacente, lo que provoca una fuga de datos confidenciales. Este problema se solucionó en Magento 2.1 versiones anteriores a 2.1.18, Magento 2.2 versiones anteriores a 2.2.9, Magento 2.3 versiones anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://www.ambionics.io/blog/magento-sqli • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2018-5301
https://notcve.org/view.php?id=CVE-2018-5301
Magento Community Edition and Enterprise Edition before 2.0.10 and 2.1.x before 2.1.2 have CSRF resulting in deletion of a customer address from an address book, aka APPSEC-1433. Magento Community Edition y Enterprise Edition en sus versiones 2.0.10 y 2.1.x anteriores a la 2.1.2 tiene Cross-Site Request Forgery (CSRF), resultando en el borrado de una dirección del cliente del agenda de direcciones. Esa vulnerabilidad también se conoce como APPSEC-1433. • https://magento.com/security/patches/magento-2010-and-212-security-update • CWE-352: Cross-Site Request Forgery (CSRF) •