CVSS: 4.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8115
https://notcve.org/view.php?id=CVE-2019-8115
A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can inject arbitrary JavaScript code when adding an image for during simple product creation. Existe una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede inyectar código JavaScript arbitrario cuando se agrega una imagen durante una creación de producto simple. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8114
https://notcve.org/view.php?id=CVE-2019-8114
A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to import features can execute arbitrary code via crafted configuration archive file upload. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para funcionalidades de importación puede ejecutar código arbitrario por medio de una carga de archivos de registro de configuración especialmente diseñada. • https://magento.com/security/patches/supee-11219 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8113
https://notcve.org/view.php?id=CVE-2019-8113
Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1 uses cryptographically weak random number generator to brute-force the confirmation code for customer registration. Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, usa un generador de números aleatorios criptográficamente débil para llevar a cabo una fuerza-bruta en el código de confirmación para el registro del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8112
https://notcve.org/view.php?id=CVE-2019-8112
A security bypass vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can bypass the email confirmation mechanism via GET request that captures relevant account data obtained from the POST response related to new user creation. Existe una vulnerabilidad de omisión de seguridad en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede omitir el mecanismo de confirmación de correo electrónico por medio de una petición GET que captura datos relevantes de la cuenta obtenidos desde la respuesta POST relacionada con la creación de un nuevo usuario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8111
https://notcve.org/view.php?id=CVE-2019-8111
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage plugin functionality related to email templates to manipulate the interceptor class in a way that allows an attacker to execute arbitrary code. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar una funcionalidad del plugin relacionada con las plantillas de correo electrónico para manipular la clase interceptor de una manera que permita a un atacante ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •