CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8123
https://notcve.org/view.php?id=CVE-2019-8123
An insufficient logging and monitoring vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. The logging feature required for effective monitoring did not contain sufficent data to effectively track configuration changes. Existe una vulnerabilidad de registro y monitoreo insuficiente en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La funcionalidad de registro requerida para un monitoreo efectivo no contenía suficientes datos para rastrear efectivamente los cambios de configuración. • https://magento.com/security/patches/supee-11219 •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8122
https://notcve.org/view.php?id=CVE-2019-8122
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with privileges to create products can craft custom layout update and use import product functionality to enable remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado con privilegios para crear productos puede diseñar una actualización de diseño personalizada y usar la funcionalidad import product para permitir una ejecución de código remota. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8121
https://notcve.org/view.php?id=CVE-2019-8121
An insecure component vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. Magento 2 codebase leveraged outdated versions of JS libraries (Bootstrap, jquery, Knockout) with known security vulnerabilities. Existe una vulnerabilidad de componente no seguro en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. La base de código de Magento versión 2 aprovechó las versiones obsoletas de las bibliotecas JS (Bootstrap, jquery, Knockout) con vulnerabilidades de seguridad conocidas. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8120
https://notcve.org/view.php?id=CVE-2019-8120
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user can inject arbitrary Javascript code by manipulating section of a POST request related to customer's email address. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.1 anteriores a 2.1.19, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario autenticado puede inyectar código Javascript arbitrario mediante la manipulación de la sección de una petición POST relacionada con la dirección de correo electrónico del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8119
https://notcve.org/view.php?id=CVE-2019-8119
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated admin user with import product privileges can delete files through bulk product import and inject code into XSLT file. The combination of these manipulations can lead to remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a 2.3.3. Un usuario administrador autenticado con privilegios de importación de productos puede eliminar archivos mediante la importación masiva de productos e inyectar código en un archivo XSLT. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •