CVE-2019-8148

Опубликовано: 06 нояб. 2019

Источник: nvd

CVSS3: 4.8

CVSS2: 3.5

EPSS Низкий

Описание

A stored cross-site scripting (XSS) vulnerability exists in Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can inject arbitrary JavaScript code when creating a content page via page builder.

Ссылки

https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory
https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*

EPSS

Процентиль: 84%

0.02138

Низкий

4.8 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-86pc-6mm8-542r