CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7857
https://notcve.org/view.php?id=CVE-2019-7857
A cross-site request forgery vulnerability in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 can cause unwanted items to be added to a shopper's cart due to an insufficiently robust anti-CSRF token implementation. Una vulnerabilidad de tipo cross-site request forgery en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, puede causar que elementos no deseados sean agregados al carrito del comprador debido a una implementación de token anti-CSRF insuficientemente robusto. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7855
https://notcve.org/view.php?id=CVE-2019-7855
A cryptograhic flaw in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 could be abused by an unauthenticated user to discover an invariant used in gift card generation. Un fallo criptográfico en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, podría ser abusado por un usuario no autenticado para detectar un invariante utilizado en la generación de tarjetas de regalo. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7854
https://notcve.org/view.php?id=CVE-2019-7854
An insecure direct object reference (IDOR) vulnerability in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 can lead to unauthorized disclosure of company credit history details. Una vulnerabilidad de referencia directa a objetos no segura (IDOR) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, puede conllevar a la divulgación no autorizada de los detalles del historial crediticio de la compañía. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7852
https://notcve.org/view.php?id=CVE-2019-7852
A path disclosure vulnerability exists in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Requests for a specific file path could result in a redirect to the URL of the Magento admin panel, disclosing its location to potentially unauthorized parties. Se presenta una vulnerabilidad de divulgación de ruta (path) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Las peticiones para una ruta (path) de archivo específica podrían resultar en un redireccionamiento hacia la URL del panel de administración de Magento, revelando su ubicación a partes potencialmente no autorizadas. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7851
https://notcve.org/view.php?id=CVE-2019-7851
A cross-site request forgery vulnerability in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2 can lead to unintended data deletion from customer pages. Una vulnerabilidad de tipo cross-site request forgery en Magento versiones 2.1 anteriores a 2.1.18, Magento 2.2 anteriores a 2.2.9, Magento 2.3 anteriores a 2.3.2, puede conllevar a la eliminación involuntaria de datos desde las páginas de cliente. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33 • CWE-352: Cross-Site Request Forgery (CSRF) •