Page 36 of 213 results (0.011 seconds)

CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with administrator privileges to layouts can execute arbitrary code through a combination of product import, crafted csv file and XML layout update. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para diseños puede ejecutar código arbitrario por medio de una combinación de importación de productos, archivo csv diseñado y actualización de diseño XML. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •

CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with admin privileges to layouts can execute arbitrary code through a crafted XML layout update. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para diseños puede ejecutar código arbitrario por medio de una actualización de diseño XML diseñada. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •

CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with administrator privileges to access shipment settings can execute arbitrary code via server-side request forgery. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para acceder a la configuración de envío puede ejecutar código arbitrario mediante un ataque de tipo server-side request forgery. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0

An Insecure Direct Object Reference (IDOR) vulnerability exists in the order processing workflow of Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. This can lead to unauthorized access to order details. Se presenta una vulnerabilidad de Referencia Directa a Objetos No Segura (IDOR) en el flujo de trabajo de procesamiento de pedidos de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anterior a 2.3.2. Esto puede conllevar a un acceso no autorizado a los detalles del pedido. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-639: Authorization Bypass Through User-Controlled Key •

CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 0

An injection vulnerability exists in Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with marketing manipulation privileges can invoke methods that alter data of the underlying model followed by corresponding database modifications. Se presenta una vulnerabilidad de inyección en Magento Open Source anterior a versión 1.9.4.2 y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de manipulación de mercadeo puede invocar métodos que alteren los datos del modelo subyacente seguido por las modificaciones correspondientes de la base de datos. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •