CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7923
https://notcve.org/view.php?id=CVE-2019-7923
A server-side request forgery (SSRF) vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can be exploited by authenticated user with admin privileges to manipulate shipment settings to execute arbitrary code. Se presenta una vulnerabilidad de tipo server-side request forgery (SSRF) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para manipular la configuración de envío para ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7921
https://notcve.org/view.php?id=CVE-2019-7921
A stored cross-site scripting vulnerability exists in the product catalog form of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the product catalog to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el formulario del catálogo de productos de Magento 2.1 anterior a 2.1.18, Magento 2.2 anterior a 2.2.9, Magento 2.3 anterior a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios al catálogo de productos para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7915
https://notcve.org/view.php?id=CVE-2019-7915
A denial-of-service vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Under certain conditions, an unauthenticated attacker could force the Magento store's full page cache to serve a 404 page to customers. Se presenta una vulnerabilidad de denegación de servicio en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Bajo determinadas condiciones, un atacante no autenticado podría forzar a la caché de página completa de la tienda Magento a servir una página 404 para clientes. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7913
https://notcve.org/view.php?id=CVE-2019-7913
A server-side request forgery (SSRF) vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can be exploited by an authenticated user with admin privileges to manipulate shipment methods to execute arbitrary code. Se presenta una vulnerabilidad de tipo server-side request forgery (SSRF) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para manipular los métodos de envío para ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7912
https://notcve.org/view.php?id=CVE-2019-7912
A file upload filter bypass exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can be exploited by an authenticated user with admin privileges to edit configuration keys to remove file extension filters, potentially resulting in the malicious upload and execution of malicious files on the server. Se presenta una omisión del filtro de carga de archivos en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para editar las claves de configuración para eliminar los filtros de extensión de archivo, resultando en la carga maliciosa y la ejecución de archivos maliciosos sobre el servidor. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-434: Unrestricted Upload of File with Dangerous Type •