CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8127
https://notcve.org/view.php?id=CVE-2019-8127
A SQL injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to an account with Newsletter Template editing permission could exfiltrate the Admin login data, and reset their password, effectively performing a privilege escalation. Existe una vulnerabilidad de inyección SQL en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para una cuenta con permisos de edición de Newsletter Template podría exfiltrar los datos de inicio de sesión de administrador y restablecer su contraseña, realizando efectivamente una escalada de privilegios • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8126
https://notcve.org/view.php?id=CVE-2019-8126
An XML entity injection vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can craft document type definition for an XML representing XML layout. The crafted document type definition and XML layout allow processing of external entities which can lead to information disclosure. Existe una vulnerabilidad de inyección de entidad XML en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede diseñar una definición de tipo de documento para un XML representando un diseño XML. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8125
https://notcve.org/view.php?id=CVE-2019-8125
A remote code execution vulnerability exists in Magento 1 prior to 1.9.x and 1.14.x. An authenticated admin user can modify configuration parameters via crafted support configuration. The modification can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.x y 1.14.x. Un usuario administrador autenticado puede modificar los parámetros de configuración por medio de una configuración de soporte diseñada. • https://magento.com/security/patches/supee-11219 •
CVSS: 4.9EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8124
https://notcve.org/view.php?id=CVE-2019-8124
An insufficient logging and monitoring vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. Failure to track admin actions related to design configuration could lead to repudiation attacks. Existe una vulnerabilidad de registro y monitoreo insuficiente en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un fallo en las acciones administrativas de seguimiento relacionadas con la configuración de diseño, podrían conllevar a ataques de repudio. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8123
https://notcve.org/view.php?id=CVE-2019-8123
An insufficient logging and monitoring vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. The logging feature required for effective monitoring did not contain sufficent data to effectively track configuration changes. Existe una vulnerabilidad de registro y monitoreo insuficiente en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La funcionalidad de registro requerida para un monitoreo efectivo no contenía suficientes datos para rastrear efectivamente los cambios de configuración. • https://magento.com/security/patches/supee-11219 •