CVE-2019-8152

Опубликовано: 06 нояб. 2019

Источник: nvd

CVSS3: 5.4

CVSS2: 3.5

EPSS Низкий

Описание

A stored cross-site scripting (XSS) vulnerability exists in in Magento 1 prior to 1.9.4.3 and 1.14.4.3, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with access to the wysiwyg editor can abuse the blockDirective() function and inject malicious javascript in the cache of the admin dashboard.

Ссылки

https://magento.com/security/patches/supee-11219
Patch
Vendor Advisory
https://magento.com/security/patches/supee-11219
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 1.5.0.0 (включая) до 1.9.4.3 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 1.9.0.0 (включая) до 1.14.4.3 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*

EPSS

Процентиль: 39%

0.00177

Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-jjmg-xmq2-g6ff

CVSS3: 4.8

github

больше 3 лет назад

Magento 2 Community Edition XSS Vulnerability

EPSS

Процентиль: 39%

0.00177

Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79