CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7861
https://notcve.org/view.php?id=CVE-2019-7861
Insufficient server-side validation of user input could allow an attacker to bypass file upload restrictions in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. La comprobación insuficiente del lado del servidor de la entrada de usuario podría permitir a un atacante omitir las restricciones de carga de archivos en Magento versiones 2.1 anteriores a 2.1.18, Magento 2.2 anteriores a 2.2.9, Magento 2.3 anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7860
https://notcve.org/view.php?id=CVE-2019-7860
A cryptographically weak pseudo-rando number generator is used in multiple security relevant contexts in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Se utiliza un generador de números pseudoaleatorio criptográficamente débil en múltiples contextos relevantes para la seguridad en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7859
https://notcve.org/view.php?id=CVE-2019-7859
A path traversal vulnerability in the WYSIWYG editor for Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 could result in unauthorized access to uploaded images due to insufficient access control. Una vulnerabilidad de salto de ruta (path) en el editor WYSIWYG para Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, podría resultar el acceso no autorizado a las imágenes cargadas debido a un control de acceso insuficiente. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-24 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7858
https://notcve.org/view.php?id=CVE-2019-7858
A cryptographic flaw in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9 and Magento 2.3 prior to 2.3.2 resulted in storage of sensitive information with an algorithm that is insufficiently resistant to brute force attacks. Un fallo criptográfico en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9 y Magento versiones 2.3 anteriores a 2.3.2, resultó en el almacenamiento de información confidencial con un algoritmo que no es lo suficientemente resistente a los ataques de fuerza bruta. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7857
https://notcve.org/view.php?id=CVE-2019-7857
A cross-site request forgery vulnerability in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 can cause unwanted items to be added to a shopper's cart due to an insufficiently robust anti-CSRF token implementation. Una vulnerabilidad de tipo cross-site request forgery en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, puede causar que elementos no deseados sean agregados al carrito del comprador debido a una implementación de token anti-CSRF insuficientemente robusto. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-352: Cross-Site Request Forgery (CSRF) •