CVE-2022-35698 – Adobe Commerce Stored XSS Arbitrary code execution
https://notcve.org/view.php?id=CVE-2022-35698
Adobe Commerce versions 2.4.4-p1 (and earlier) and 2.4.5 (and earlier) are affected by a Stored Cross-site Scripting vulnerability. Exploitation of this issue does not require user interaction and could result in a post-authentication arbitrary code execution. Adobe Commerce versiones 2.4.4-p1 (y anteriores) y 2.4.5 (y anteriores) están afectadas por una vulnerabilidad de tipo Cross-site Scripting Almacenado. No es requerida una interacción del usuario para la explotación de este problema y podría resultar en una ejecución de código arbitrario posterior a la autenticación • https://helpx.adobe.com/security/products/magento/apsb22-48.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-26631 – Mangboard parameter modulation vulnerability
https://notcve.org/view.php?id=CVE-2021-26631
Improper input validation vulnerability in Mangboard commerce package could lead to occur for abnormal request. A remote attacker can exploit this vulnerability to manipulate the total order amount into a negative number and then pay for the order. Una vulnerabilidad de comprobación de entrada inapropiada en el paquete de comercio Mangboard podría conllevar a que sean producidas peticiones anormales. Un atacante remoto puede explotar esta vulnerabilidad para manipular el importe total del pedido hasta convertirlo en un número negativo y luego pagar el pedido • https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66724 • CWE-20: Improper Input Validation •
CVE-2022-24086 – Adobe Commerce and Magento Open Source Improper Input Validation Vulnerability
https://notcve.org/view.php?id=CVE-2022-24086
Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input validation vulnerability during the checkout process. Exploitation of this issue does not require user interaction and could result in arbitrary code execution. Adobe Commerce versiones 2.4.3-p1 (y anteriores) y 2.3.7-p2 (y anteriores), están afectadas por una vulnerabilidad de comprobación de entrada inapropiada durante el proceso de compra. Una explotación de este problema no requiere la interacción del usuario y podría resultar en una ejecución de código arbitrario Adobe Commerce and Magento Open Source contain an improper input validation vulnerability which can allow for arbitrary code execution. • https://github.com/Mr-xn/CVE-2022-24086 https://github.com/oK0mo/CVE-2022-24086-RCE-PoC https://github.com/nanaao/CVE-2022-24086-RCE https://github.com/pescepilota/CVE-2022-24086 https://github.com/NHPT/CVE-2022-24086-RCE https://github.com/akr3ch/CVE-2022-24086 https://github.com/rxerium/CVE-2022-24086 https://github.com/BurpRoot/CVE-2022-24086 https://github.com/seymanurmutlu/CVE-2022-24086-CVE-2022-24087 https://helpx.adobe.com/security/products/magento/apsb2 • CWE-20: Improper Input Validation •
CVE-2021-39864 – Adobe Commerce Cross-Site Request Forgery (CSRF) Could Lead To Unauthorized Cart Addition
https://notcve.org/view.php?id=CVE-2021-39864
Adobe Commerce versions 2.4.2-p2 (and earlier), 2.4.3 (and earlier) and 2.3.7p1 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via a Wishlist Share Link. Successful exploitation could lead to unauthorized addition to customer cart by an unauthenticated attacker. Access to the admin console is not required for successful exploitation. Adobe Commerce versiones 2.4.2-p2 (y anteriores), 2.4.3 (y anteriores) y 2.3.7p1 (y anteriores), están afectadas por una vulnerabilidad de tipo cross-site request forgery (CSRF) por medio de un Enlace para Compartir la Lista de Deseos. Una explotación con éxito podría conllevar a una adición no autorizada al carrito del cliente por parte de un atacante no autenticado. • https://helpx.adobe.com/security/products/magento/apsb21-86.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2012-1639
https://notcve.org/view.php?id=CVE-2012-1639
Multiple cross-site scripting (XSS) vulnerabilities in product/commerce_product.module in the Drupal Commerce module for Drupal before 7.x-1.2 allow remote authenticated users to inject arbitrary web script or HTML via the (1) sku or (2) title parameters. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el módulo enproduct/commerce_product.module en el módulo Drupal Commerce para Drupal anteriores a v7.x-1.2, permite a atacantes remotos secuestrar la autenticación de los usuarios para inyectar comandos web o html a través de los parámetros (1) sku o (2) title. • http://drupal.org/node/1416824 http://drupalcode.org/project/commerce.git/blobdiff/45bc53875f1675750afe60e709a34c95e3008366..b74cdcd:/modules/product/commerce_product.module http://osvdb.org/78528 http://secunia.com/advisories/47730 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51668 https://exchange.xforce.ibmcloud.com/vulnerabilities/72743 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •