Page 29 of 238 results (0.011 seconds)

CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0

Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1 uses cryptographically weak random number generator to brute-force the confirmation code for customer registration. Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1, usa un generador de números aleatorios criptográficamente débil para llevar a cabo una fuerza-bruta en el código de confirmación para el registro del cliente. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •

CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0

A security bypass vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can bypass the email confirmation mechanism via GET request that captures relevant account data obtained from the POST response related to new user creation. Existe una vulnerabilidad de omisión de seguridad en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario no autenticado puede omitir el mecanismo de confirmación de correo electrónico por medio de una petición GET que captura datos relevantes de la cuenta obtenidos desde la respuesta POST relacionada con la creación de un nuevo usuario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-345: Insufficient Verification of Data Authenticity •

CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0

A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage plugin functionality related to email templates to manipulate the interceptor class in a way that allows an attacker to execute arbitrary code. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar una funcionalidad del plugin relacionada con las plantillas de correo electrónico para manipular la clase interceptor de una manera que permita a un atacante ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •

CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0

A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage email templates hierarchy to manipulate the interceptor class in a way that allows an attacker to execute arbitrary code. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar la jerarquía de las plantillas de correo electrónico para manipular la clase interceptor de una manera que permita a un atacante ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •

CVSS: 8.0EPSS: 0%CPEs: 6EXPL: 0

A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can craft a malicious CSRF payload that can result in arbitrary command execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede crear una carga útil de tipo CSRF maliciosa que puede resultar en la ejecución de comandos arbitraria. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-352: Cross-Site Request Forgery (CSRF) •