CVE-2019-8235
https://notcve.org/view.php?id=CVE-2019-8235
An insecure direct object reference (IDOR) vulnerability exists in Magento 2.3 prior to 2.3.1, 2.2 prior to 2.2.8, and 2.1 prior to 2.1.17 versions. An authenticated user may be able to view personally identifiable shipping details of another user due to insufficient validation of user controlled input. Existe una vulnerabilidad de referencia directa a objeto (IDOR) no segura en Magento versiones 2.3 anteriores a 2.3.1, versiones 2.2 anteriores a 2.2.8 y versiones 2.1 anteriores a 2.1.17. Un usuario autenticado puede visualizar los detalles de envío identificables personalmente de otro usuario debido a una comprobación insuficiente de una entrada controlada por el usuario. • https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-7853
https://notcve.org/view.php?id=CVE-2019-7853
A stored cross-site scripting vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the tax notifications configuration in the Magento admin panel. Se presenta una vulnerabilidad de cross-site scripting almacenada en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para la configuración de notificaciones de impuestos en el panel de administración de Magento. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-24 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7951
https://notcve.org/view.php?id=CVE-2019-7951
An information leakage vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. A SOAP web service endpoint does not properly enforce parameters related to access control. This could be abused to leak customer information via crafted SOAP requests. Se presenta una vulnerabilidad de filtrado de información en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un endpoint de servicio web SOAP no aplica apropiadamente los parámetros relacionados con el control de acceso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •
CVE-2019-7950
https://notcve.org/view.php?id=CVE-2019-7950
An access control bypass vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An unauthenticated user can bypass access controls via REST API calls to assign themselves to an arbitrary company, thereby gaining read access to potentially confidental information. Se presenta una vulnerabilidad de omisión del control de acceso en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. El usuario no autenticado puede omitir los controles de acceso por medio de llamadas a la API REST para asignarla a una compañía arbitraria, por lo tanto se consigue acceso de lectura a información potencialmente confidencial. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-7947
https://notcve.org/view.php?id=CVE-2019-7947
A cross-site request forgery vulnerability exists in the GiftCardAccount removal feature for Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Se presenta una vulnerabilidad de tipo cross-site request forgery en la funcionalidad de eliminación de GiftCardAccount para Magento Open Source anterior a versión 1.9.4.2 y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 a anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-352: Cross-Site Request Forgery (CSRF) •