CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8093
https://notcve.org/view.php?id=CVE-2019-8093
An arbitrary file access vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage file upload controller for downloadable products to read/delete an arbitary files. Existe una vulnerabilidad de acceso de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar el controlador de carga de archivos para los productos descargables para la lectura y eliminación de archivos arbitrarios. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8092
https://notcve.org/view.php?id=CVE-2019-8092
A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via email template preview. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versiones 2.2 anteriores a la versión2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la vista previa de la plantilla de correo electrónico. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2019-8090
https://notcve.org/view.php?id=CVE-2019-8090
An arbitrary file deletion vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated users can manipulate the design layout update feature. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3. Unos usuarios autenticados pueden manipular la funcionalidad design layout update. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8235
https://notcve.org/view.php?id=CVE-2019-8235
An insecure direct object reference (IDOR) vulnerability exists in Magento 2.3 prior to 2.3.1, 2.2 prior to 2.2.8, and 2.1 prior to 2.1.17 versions. An authenticated user may be able to view personally identifiable shipping details of another user due to insufficient validation of user controlled input. Existe una vulnerabilidad de referencia directa a objeto (IDOR) no segura en Magento versiones 2.3 anteriores a 2.3.1, versiones 2.2 anteriores a 2.2.8 y versiones 2.1 anteriores a 2.1.17. Un usuario autenticado puede visualizar los detalles de envío identificables personalmente de otro usuario debido a una comprobación insuficiente de una entrada controlada por el usuario. • https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7853
https://notcve.org/view.php?id=CVE-2019-7853
A stored cross-site scripting vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the tax notifications configuration in the Magento admin panel. Se presenta una vulnerabilidad de cross-site scripting almacenada en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para la configuración de notificaciones de impuestos en el panel de administración de Magento. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-24 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •