CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8122
https://notcve.org/view.php?id=CVE-2019-8122
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with privileges to create products can craft custom layout update and use import product functionality to enable remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado con privilegios para crear productos puede diseñar una actualización de diseño personalizada y usar la funcionalidad import product para permitir una ejecución de código remota. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8121
https://notcve.org/view.php?id=CVE-2019-8121
An insecure component vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. Magento 2 codebase leveraged outdated versions of JS libraries (Bootstrap, jquery, Knockout) with known security vulnerabilities. Existe una vulnerabilidad de componente no seguro en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La base de código de Magento versión 2 aprovechó las versiones obsoletas de las bibliotecas JS (Bootstrap, jquery, Knockout) con vulnerabilidades de seguridad conocidas. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8120
https://notcve.org/view.php?id=CVE-2019-8120
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user can inject arbitrary Javascript code by manipulating section of a POST request related to customer's email address. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado puede inyectar código Javascript arbitrario mediante la manipulación de la sección de una petición POST relacionada con la dirección de correo electrónico del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8119
https://notcve.org/view.php?id=CVE-2019-8119
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated admin user with import product privileges can delete files through bulk product import and inject code into XSLT file. The combination of these manipulations can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario administrador autenticado con privilegios de importación de productos puede eliminar archivos mediante la importación masiva de productos e inyectar código en un archivo XSLT. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8118
https://notcve.org/view.php?id=CVE-2019-8118
Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 uses weak cryptographic function to store the failed login attempts for customer accounts. Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3, usa una función criptográfica débil para almacenar los intentos de inicio de sesión fallidos para cuentas de clientes. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-312: Cleartext Storage of Sensitive Information •