CVE-2019-7903
https://notcve.org/view.php?id=CVE-2019-7903
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with admin privileges to email templates can execute arbitrary code by previewing a malicious template. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para plantillas de correo electrónico puede ejecutar código arbitrario mediante la previsualización de una plantilla maliciosa. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •
CVE-2019-7899
https://notcve.org/view.php?id=CVE-2019-7899
Names of disabled downloadable products could be disclosed due to inadequate validation of user input in Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Los nombres de productos descargables inhabilitados podrían ser divulgados debido a una comprobación inadecuada de la entrada de usuario en Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-20: Improper Input Validation •
CVE-2019-7898
https://notcve.org/view.php?id=CVE-2019-7898
Samples of disabled downloadable products are accessible in Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 due to inadequate validation of user input. Se puede acceder a muestras de productos descargables inhabilitadas en Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2 debido a la comprobación inadecuada de la entrada de usuario. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-20: Improper Input Validation •
CVE-2019-7897
https://notcve.org/view.php?id=CVE-2019-7897
A stored cross-site scripting vulnerability exists in the admin panel of Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This could be exploited by an authenticated user with privileges to customer configurations to inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios a las configuraciones de cliente para inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7896
https://notcve.org/view.php?id=CVE-2019-7896
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with administrator privileges to layouts can execute arbitrary code through a combination of product import, crafted csv file and XML layout update. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para diseños puede ejecutar código arbitrario por medio de una combinación de importación de productos, archivo csv diseñado y actualización de diseño XML. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •