CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8139
https://notcve.org/view.php?id=CVE-2019-8139
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary Javascript code into the dynamic block when invoking page builder on a product. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código Javascript arbitrario en el bloque dinámico cuando invocan al generador de páginas sobre un producto. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8138
https://notcve.org/view.php?id=CVE-2019-8138
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can execute arbitrary JavaScript code by providing arbitrary API endpoint that will not be chcecked by sale pickup event. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede ejecutar código JavaScript arbitrario al proveer un endpoint de la API arbitrario que no será comprobado mediante el evento de recolección de venta. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8137
https://notcve.org/view.php?id=CVE-2019-8137
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with privileges to manipulate CMS section of the website can trigger remote code execution via custom layout update. existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios para manipular la sección CMS del sitio web puede activar una ejecución de código remota por medio de una actualización de diseño personalizada. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8136
https://notcve.org/view.php?id=CVE-2019-8136
An insecure component vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Magento 2 codebase leveraged outdated versions of HTTP specification abstraction implemented in symphony component. Existe una vulnerabilidad de componente no seguro en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. La base de código de Magento versión 2 aprovechó versiones obsoletas de abstracción de especificación HTTP implementadas en el componente symphony. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8135
https://notcve.org/view.php?id=CVE-2019-8135
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. Dependency injection through Symphony framework allows service identifiers to be derived from user controlled data, which can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Una inyección de dependencia mediante el framework Symphony permite que los identificadores de servicio se deriven de datos controlados por parte del usuario, lo que puede conllevar a una ejecución de código remota. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •