Page 35 of 238 results (0.005 seconds)

CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0

A stored cross-site scripting vulnerability exists in the admin panel of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to edit product content pages to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para editar páginas de contenido de producto para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0

A stored cross-site scripting vulnerability exists in the admin panel of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to modify node attributes to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para modificar los atributos de nodo para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0

An insecure direct object reference (IDOR) vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can be exploited by an administrator with limited privileges to delete the downloadable products folder. Se presenta una vulnerabilidad de referencia directa a objetos no segura (IDOR) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un administrador con privilegios limitados para eliminar la carpeta de productos descargable. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-639: Authorization Bypass Through User-Controlled Key •

CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0

A server-side request forgery (SSRF) vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can be exploited by authenticated user with admin privileges to manipulate shipment settings to execute arbitrary code. Se presenta una vulnerabilidad de tipo server-side request forgery (SSRF) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para manipular la configuración de envío para ejecutar código arbitrario. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0

A stored cross-site scripting vulnerability exists in the product catalog form of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to the product catalog to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el formulario del catálogo de productos de Magento 2.1 anterior a 2.1.18, Magento 2.2 anterior a 2.2.9, Magento 2.3 anterior a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios al catálogo de productos para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •