CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7950
https://notcve.org/view.php?id=CVE-2019-7950
An access control bypass vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An unauthenticated user can bypass access controls via REST API calls to assign themselves to an arbitrary company, thereby gaining read access to potentially confidental information. Se presenta una vulnerabilidad de omisión del control de acceso en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. El usuario no autenticado puede omitir los controles de acceso por medio de llamadas a la API REST para asignarla a una compañía arbitraria, por lo tanto se consigue acceso de lectura a información potencialmente confidencial. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 0CVE-2019-7947
https://notcve.org/view.php?id=CVE-2019-7947
A cross-site request forgery vulnerability exists in the GiftCardAccount removal feature for Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Se presenta una vulnerabilidad de tipo cross-site request forgery en la funcionalidad de eliminación de GiftCardAccount para Magento Open Source anterior a versión 1.9.4.2 y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 a anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2019-7945
https://notcve.org/view.php?id=CVE-2019-7945
A stored cross-cite scripting vulnerability exists in Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with privileges to modify currency symbols can inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en Magento Open Source anterior a versión 1.9.4.2 y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2 . Un usuario autenticado con privilegios para modificar símbolos de moneda puede inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2019-7944
https://notcve.org/view.php?id=CVE-2019-7944
A stored cross-site scripting vulnerability exists in the product comments field of Magento Open Source prior to 1.9.4.2, and Magento Commerce prior to 1.14.4.2, Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with privileges to the Return Product comments field can inject malicious javascript. Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el campo de comentarios del producto de Magento Open Source anterior a versión 1.9.4.2, y Magento Commerce anterior a versión 1.14.4.2, Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios en el campo comentarios del Producto Devuelto puede inyectar JavaScript malicioso. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-24 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7942
https://notcve.org/view.php?id=CVE-2019-7942
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. An authenticated user with admin privileges to create or edit a product can execute arbitrary code via malicious XML layout updates. Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para crear o editar un producto puede ejecutar código arbitrario por medio de actualizaciones de diseño XML maliciosas. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 •