Page 28 of 212 results (0.046 seconds)

CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0

An arbitrary file deletion vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with export data transfer privileges can craft a request to perform arbitrary file deletion. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de transferencia de datos de exportación puede diseñar una petición para realizar la eliminación de archivos arbitrarios. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •

CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0

An arbitrary file access vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage file upload controller for downloadable products to read/delete an arbitary files. Existe una vulnerabilidad de acceso de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar el controlador de carga de archivos para los productos descargables para la lectura y eliminación de archivos arbitrarios. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0

A reflected cross-site scripting (XSS) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can inject arbitrary JavaScript code via email template preview. Existe una vulnerabilidad de tipo cross-site scripting (XSS) en Magento versiones 2.2 anteriores a la versión2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3 o 2.3.2-p1. Un usuario autenticado puede inyectar código JavaScript arbitrario por medio de la vista previa de la plantilla de correo electrónico. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0

An arbitrary file deletion vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated users can manipulate the design layout update feature. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.1 anteriores a la versión 2.1.19, Magento versiones 2.2 anteriores a la versión 2.2.10, Magento versiones 2.3 anteriores a la versión 2.3.3. Unos usuarios autenticados pueden manipular la funcionalidad design layout update. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •

CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0

An insecure direct object reference (IDOR) vulnerability exists in Magento 2.3 prior to 2.3.1, 2.2 prior to 2.2.8, and 2.1 prior to 2.1.17 versions. An authenticated user may be able to view personally identifiable shipping details of another user due to insufficient validation of user controlled input. Existe una vulnerabilidad de referencia directa a objeto (IDOR) no segura en Magento versiones 2.3 anteriores a 2.3.1, versiones 2.2 anteriores a 2.2.8 y versiones 2.1 anteriores a 2.1.17. Un usuario autenticado puede visualizar los detalles de envío identificables personalmente de otro usuario debido a una comprobación insuficiente de una entrada controlada por el usuario. • https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update • CWE-639: Authorization Bypass Through User-Controlled Key •