CVSS: 9.8EPSS: 9%CPEs: 8EXPL: 1CVE-2019-7139
https://notcve.org/view.php?id=CVE-2019-7139
An unauthenticated user can execute SQL statements that allow arbitrary read access to the underlying database, which causes sensitive data leakage. This issue is fixed in Magento 2.1 prior to 2.1.18, Magento 2.2 prior to 2.2.9, Magento 2.3 prior to 2.3.2. Un usuario no autenticado puede ejecutar sentencias SQL que permiten el acceso de lectura arbitraria a la base de datos subyacente, lo que provoca una fuga de datos confidenciales. Este problema se solucionó en Magento 2.1 versiones anteriores a 2.1.18, Magento 2.2 versiones anteriores a 2.2.9, Magento 2.3 versiones anteriores a 2.3.2. • https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://www.ambionics.io/blog/magento-sqli • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-5301
https://notcve.org/view.php?id=CVE-2018-5301
Magento Community Edition and Enterprise Edition before 2.0.10 and 2.1.x before 2.1.2 have CSRF resulting in deletion of a customer address from an address book, aka APPSEC-1433. Magento Community Edition y Enterprise Edition en sus versiones 2.0.10 y 2.1.x anteriores a la 2.1.2 tiene Cross-Site Request Forgery (CSRF), resultando en el borrado de una dirección del cliente del agenda de direcciones. Esa vulnerabilidad también se conoce como APPSEC-1433. • https://magento.com/security/patches/magento-2010-and-212-security-update • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2016-10704
https://notcve.org/view.php?id=CVE-2016-10704
Magento Community Edition and Enterprise Edition before 2.0.10 and 2.1.x before 2.1.2 have XSS via e-mail templates that are mishandled during a preview, aka APPSEC-1503. Magento Community Edition y Enterprise Edition en sus versiones 2.0.10 y 2.1.x anteriores a la 2.1.2 tiene Cross Site Scripting (XSS) mediante las plantillas de correo que se gestionan de manera incorrecta durante una previsualización. Esta vulnerabilidad también se conoce como APPSEC-1503. • https://magento.com/security/patches/magento-2010-and-212-security-update • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2015-8707
https://notcve.org/view.php?id=CVE-2015-8707
Password reset tokens in Magento CE before 1.9.2.2, and Magento EE before 1.14.2.2 are passed via a GET request and not canceled after use, which allows remote attackers to obtain user passwords via a crafted external service with access to the referrer field. Los tokens de restablecimiento de contraseña en Magento CE en versiones anteriores a la 1.9.2.2 y Magento EE en versiones anteriores a la 1.14.2.2 se pasan mediante una petición GET y no se cancelan tras su uso. Esto permite que los atacantes remotos obtengan las contraseñas de usuario mediante un servicio externo manipulado con acceso al campo referrer. • https://magento.com/security/patches/supee-6788 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2014-9758
https://notcve.org/view.php?id=CVE-2014-9758
Cross-site scripting (XSS) vulnerability in Magento E-Commerce Platform 1.9.0.1. Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la versión 1.9.0.1 de Magento E-Commerce Platform. • http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform http://www.openwall.com/lists/oss-security/2015/12/05/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •