CVE-2021-28585 – Magento Commerce improper input validation in customer customer webapi
https://notcve.org/view.php?id=CVE-2021-28585
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by an Improper input validation vulnerability in the New customer WebAPI.Successful exploitation could allow an attacker to send unsolicited spam e-mails. Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de comprobación inapropiada de entrada en la WebAPI de nuevos clientes. Una explotación con éxito podría permitir a un atacante enviar correos electrónicos de spam no solicitados • https://helpx.adobe.com/security/products/magento/apsb21-30.html • CWE-20: Improper Input Validation •
CVE-2021-28583 – Magento Commerce insecure storage of sensitive documentation
https://notcve.org/view.php?id=CVE-2021-28583
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by a Violation of Secure Design Principles vulnerability in RMA PDF filename formats. Successful exploitation could allow an attacker to get unauthorized access to restricted resources. Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de Violation of Secure Design Principles en los formatos de nombre de archivo RMA PDF. Una explotación con éxito podría permitir a un atacante conseguir acceso no autorizado a recursos restringidos • https://helpx.adobe.com/security/products/magento/apsb21-30.html • CWE-657: Violation of Secure Design Principles •
CVE-2021-28563 – Magento Commerce improper Authorization via the 'Create Customer' endpoint
https://notcve.org/view.php?id=CVE-2021-28563
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by an Improper Authorization vulnerability via the 'Create Customer' endpoint. Successful exploitation could lead to unauthorized modification of customer data by an unauthenticated attacker. Access to the admin console is required for successful exploitation. Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de Autorización Inapropiada por medio del endpoint "Create Customer". Una explotación con éxito podría conllevar a una modificación no autorizada de los datos del cliente por parte de un atacante no autenticado. • https://helpx.adobe.com/security/products/magento/apsb21-30.html • CWE-285: Improper Authorization •
CVE-2021-28556 – Magento Commerce DOM-based cross-site scripting (XSS) could lead to arbitrary javascript execution
https://notcve.org/view.php?id=CVE-2021-28556
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by a DOM-based Cross-Site Scripting vulnerability on mage-messages cookies. Successful exploitation could lead to arbitrary JavaScript execution by an unauthenticated attacker. User interaction is required for successful exploitation. Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de tipo Cross-Site Scripting basada en el DOM en las cookies de mage-messages. Una explotación con éxito podría conllevar a una ejecución arbitraria de JavaScript por parte de un atacante no autenticado. • https://helpx.adobe.com/security/products/magento/apsb21-30.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-21064 – Magento UPWARD-php Path traversal vulnerability via UPWARD Connector
https://notcve.org/view.php?id=CVE-2021-21064
Magento UPWARD-php version 1.1.4 (and earlier) is affected by a Path traversal vulnerability in Magento UPWARD Connector version 1.1.2 (and earlier) due to the upload feature. An attacker could potentially exploit this vulnerability to upload a malicious YAML file that can contain instructions which allows reading arbitrary files from the remote server. Access to the admin console is required for successful exploitation. Magento UPWARD-php versiones 1.1.4 (y anteriores) está afectado por una vulnerabilidad de salto de ruta en Magento UPWARD Connector versiones 1.1.2 (y anteriores) debido a la funcionalidad de carga. Un atacante podría explotar esta vulnerabilidad para cargar un archivo YAML malicioso que puede contener instrucciones que permitan leer archivos arbitrarios desde el servidor remoto. • https://github.com/magento/upward-php/security https://github.com/magento/upward-php/security/advisories/GHSA-p4pw-hpjx-5685 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •