CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8117
https://notcve.org/view.php?id=CVE-2019-8117
A stored cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticates user can inject arbitrary JavaScript code via product view id specification. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la especificación del id de la vista de producto. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8116
https://notcve.org/view.php?id=CVE-2019-8116
Insecure authentication and session management vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can leverage a guest session id value following a successful login to gain access to customer account index page. Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede aprovechar un valor de id de sesión de invitado seguido de un inicio de sesión con éxito para conseguir acceso a la página de índice de la cuenta del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-384: Session Fixation •
CVSS: 4.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-8115
https://notcve.org/view.php?id=CVE-2019-8115
A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can inject arbitrary JavaScript code when adding an image for during simple product creation. Existe una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario administrador autenticado puede inyectar código JavaScript arbitrario cuando se agrega una imagen durante una creación de producto simple. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8114
https://notcve.org/view.php?id=CVE-2019-8114
A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to import features can execute arbitrary code via crafted configuration archive file upload. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a 1.9.4.3 y 1.14.4.3, Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de administrador para funcionalidades de importación puede ejecutar código arbitrario por medio de una carga de archivos de registro de configuración especialmente diseñada. • https://magento.com/security/patches/supee-11219 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8113
https://notcve.org/view.php?id=CVE-2019-8113
Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1 uses cryptographically weak random number generator to brute-force the confirmation code for customer registration. Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, usa un generador de números aleatorios criptográficamente débil para llevar a cabo una fuerza-bruta en el código de confirmación para el registro del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •