CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7886
https://notcve.org/view.php?id=CVE-2019-7886
A cryptograhic flaw exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. A weak cryptograhic mechanism is used to generate the intialization vector in multiple security relevant contexts. Se presenta un fallo criptográfico en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Es usado un mecanismo criptográfico débil para generar el vector de inicialización en múltiples contextos relevantes de seguridad. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-330: Use of Insufficiently Random Values •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7885
https://notcve.org/view.php?id=CVE-2019-7885
Insufficient input validation in the config builder of the Elastic search module could lead to remote code execution in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This vulnerability could be abused by an authenticated user with the ability to configure the catalog search. La comprobación de entrada insuficiente en el compilador de configuración del módulo de búsqueda Elastic podría conllevar a la ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esta vulnerabilidad podría ser abusada por un usuario autenticado con la capacidad de configurar la búsqueda de catálogo. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-20: Improper Input Validation •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2019-7882
https://notcve.org/view.php?id=CVE-2019-7882
A stored cross-site scripting vulnerability exists in the WYSIWYG editor of Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with privileges to the editor can inject malicious SWF files. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el editor WYSIWYG de Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios para el editor puede inyectar archivos SWF maliciosos. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7881
https://notcve.org/view.php?id=CVE-2019-7881
A cross-site scripting mitigation bypass exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user to escalate privileges (admin vs. admin XSS attack). Se presenta una omisión de mitigación de cross-site scripting en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado para escalar privilegios (administrador contra un ataque XSS de administrador). • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7880
https://notcve.org/view.php?id=CVE-2019-7880
A stored cross-site scripting vulnerability exists in the admin panel of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to marketing email templates to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para comercializar plantillas de correo electrónico para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •