CVSS: 8.0EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8109
https://notcve.org/view.php?id=CVE-2019-8109
A remote code execution vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can craft a malicious CSRF payload that can result in arbitrary command execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede crear una carga útil de tipo CSRF maliciosa que puede resultar en la ejecución de comandos arbitraria. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8108
https://notcve.org/view.php?id=CVE-2019-8108
Insecure authentication and session management vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can manipulate session validation setting for a storefront that leads to insecure authentication and session management. Existe una vulnerabilidad de autenticación y gestión de sesión no segura en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede manipular la configuración de comprobación de sesión para un storefront lo que conlleva a una autenticación y gestión de sesión no seguras. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8107
https://notcve.org/view.php?id=CVE-2019-8107
An arbitrary file deletion vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with export data transfer privileges can craft a request to perform arbitrary file deletion. Existe una vulnerabilidad de eliminación de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado con privilegios de transferencia de datos de exportación puede diseñar una petición para realizar la eliminación de archivos arbitrarios. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8091
https://notcve.org/view.php?id=CVE-2019-8091
A remote code execution vulnerability exists in Magento 1 prior to 1.9.4.3 and 1.14.4.3. An authenticated admin user with privileges to access product attributes can leverage layout updates to trigger remote code execution. Existe una vulnerabilidad de ejecución de código remota en Magento versiones 1 anteriores a la versión 1.9.4.3 y 1.14.4.3. Un usuario administrador autenticado con privilegios para acceder a los atributos del producto puede aprovechar las actualizaciones de diseño para activar la ejecución de código remota. • https://magento.com/security/patches/supee-11219 •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8093
https://notcve.org/view.php?id=CVE-2019-8093
An arbitrary file access vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user can leverage file upload controller for downloadable products to read/delete an arbitary files. Existe una vulnerabilidad de acceso de archivos arbitrarios en Magento versiones 2.2 anteriores a 2.2.10, Magento versiones 2.3 anteriores a 2.3.3 o 2.3.2-p1. Un usuario autenticado puede aprovechar el controlador de carga de archivos para los productos descargables para la lectura y eliminación de archivos arbitrarios. • https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update • CWE-434: Unrestricted Upload of File with Dangerous Type •