226 results (0.005 seconds)

CVSS: 7.2EPSS: 0%CPEs: 10EXPL: 0

CVE-2021-36036 – Magento Commerce Media Gallery Upload Improper Access Control Could Lead To Remote Code Execution

https://notcve.org/view.php?id=CVE-2021-36036

Magento versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an improper access control vulnerability within Magento's Media Gallery Upload workflow. By storing a specially crafted file in the website gallery, an authenticated attacker with administrative privilege can gain access to delete the .htaccess file. This could result in the attacker achieving remote code execution. Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento están afectadas por una vulnerabilidad de control de acceso incorrecta dentro del flujo de trabajo de Magento's Media Gallery Upload. Al almacenar un archivo especialmente manipulado en la galería del sitio web, un atacante autenticado con privilegios administrativos puede obtener acceso para eliminar el archivo .htaccess. • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-284: Improper Access Control •

CVSS: 7.2EPSS: 0%CPEs: 10EXPL: 0

CVE-2021-36021 – Magento Commerce CMS Page Improper Input Validation Could Lead To Remote Code Execution

https://notcve.org/view.php?id=CVE-2021-36021

Magento versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an Improper input validation vulnerability within the CMS page scheduled update feature. An authenticated attacker with administrative privilege could leverage this vulnerability to achieve remote code execution on the system. Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento están afectadas por una vulnerabilidad de validación de entrada Incorrecta dentro de la función de actualización programada de la página CMS. Un atacante autenticado con privilegios administrativos podría aprovechar esta vulnerabilidad para lograr la ejecución remota de código en el sistema. • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-20: Improper Input Validation •

CVSS: 9.1EPSS: 0%CPEs: 10EXPL: 0

CVE-2021-36023 – Magento Commerce Widgets Update Layout XML Injection Vulnerability Could Lead To Remote Code Execution

https://notcve.org/view.php?id=CVE-2021-36023

Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an XML Injection vulnerability in the Widgets Update Layout. An attacker with admin privileges can trigger a specially crafted script to achieve remote code execution. Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento Commerce están afectadas por una vulnerabilidad de inyección XML en el diseño de actualización de widgets. Un atacante con privilegios de administrador puede desencadenar un script especialmente manipulado para lograr la ejecución remota de código. • https://helpx.adobe.com/security/products/magento/apsb21-64.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0

CVE-2022-42344 – [CVE-2021-36032] Magento IDOR Leads to Account Takeover

https://notcve.org/view.php?id=CVE-2022-42344

Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an Incorrect Authorization vulnerability. An authenticated attacker can exploit this vulnerability to achieve information exposure and privilege escalation. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de comprobación de entrada inapropiada. Un atacante autenticado puede desencadenar una referencia de objeto directa insegura en el endpoint "V1/customers/me" para lograr una exposición de información y una escalada de privilegios • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-863: Incorrect Authorization •

CVSS: 5.3EPSS: 0%CPEs: 20EXPL: 0

CVE-2022-34259 – Adobe Commerce Improper Access Control Security feature bypass

https://notcve.org/view.php?id=CVE-2022-34259

Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an Improper Access Control vulnerability that could result in a Security feature bypass. An attacker could leverage this vulnerability to impact the availability of a user's minor feature. Exploitation of this issue does not require user interaction. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de Control de Acceso Inapropiado que podría resultar en una omisión de la funcionalidad de Seguridad. Un atacante podría aprovechar esta vulnerabilidad para afectar a la disponibilidad de una característica menor de un usuario. • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-284: Improper Access Control •