Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are affected by a Reflected Cross-site Scripting vulnerability via 'file' parameter. Successful exploitation could lead to arbitrary JavaScript execution in the victim's browser. Access to the admin console is required for successful exploitation.
{
"cpe": [
"cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.3.6:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.3.6:-:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.4.1:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.4.1:-:*:*:open_source:*:*:*"
],
"source": [
"CPE_RANGE",
"CPE_STRING"
],
"extracted_events": [
{
"introduced": "0"
},
{
"fixed": "2.3.6"
},
{
"introduced": "2.3.6-NA"
},
{
"last_affected": "2.3.6-NA"
},
{
"introduced": "2.4.1-NA"
},
{
"last_affected": "2.4.1-NA"
}
]
}{
"cpe": [
"cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.3.6:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.3.6:-:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.4.0:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.4.0:-:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.4.0:p1:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.4.0:p1:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.4.1:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.4.1:-:*:*:open_source:*:*:*"
],
"source": [
"CPE_RANGE",
"CPE_STRING"
],
"extracted_events": [
{
"introduced": "0"
},
{
"fixed": "2.3.6"
},
{
"introduced": "2.3.6-NA"
},
{
"last_affected": "2.3.6-NA"
},
{
"introduced": "2.4.0-NA"
},
{
"last_affected": "2.4.0-NA"
},
{
"introduced": "2.4.0-p1"
},
{
"last_affected": "2.4.0-p1"
},
{
"introduced": "2.4.1-NA"
},
{
"last_affected": "2.4.1-NA"
}
]
}