7 results (0.011 seconds)

CVSS: 3.5EPSS: 0%CPEs: 29EXPL: 0

Cross-site scripting (XSS) vulnerability in the Webform module before 6.x-3.23, 7.x-3.x before 7.x-3.23, and 7.x-4.x before 7.x-4.5 for Drupal allows remote authenticated users with certain permissions to inject arbitrary web script or HTML via a component name in the recipient (To) address of an email. Vulnerabilidad de XSS en el módulo Webform anterior a 6.x-3.23, 7.x-3.x anterior a 7.x-3.23, y 7.x-4.x anterior a 7.x-4.5 para Drupal permite a usuarios remotos autenticados con ciertos permisos inyectar secuencias de comandos web arbitrarios o HTML a través de un nombre de componente en la dirección del recipiente (Para) de un email. • http://www.openwall.com/lists/oss-security/2015/03/22/35 http://www.openwall.com/lists/oss-security/2015/04/25/6 http://www.securityfocus.com/bid/73215 https://www.drupal.org/node/2454055 https://www.drupal.org/node/2454059 https://www.drupal.org/node/2454063 https://www.drupal.org/node/2454903 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 3.5EPSS: 0%CPEs: 27EXPL: 0

Cross-site scripting (XSS) vulnerability in the Webform module before 6.x-3.22, 7.x-3.x before 7.x-3.22, and 7.x-4.x before 7.x-4.4 for Drupal allows remote authenticated users with certain permissions to inject arbitrary web script or HTML via a node title, which is used as the default title of a webform block. Vulnerabilidad de XSS en el módulo Webform anterior a 6.x-3.22, 7.x-3.x anterior a 7.x-3.22, y 7.x-4.x anterior a 7.x-4.4 para Drupal permite a usuarios remotos autenticados con ciertos permisos inyectar secuencias de comandos web arbitrarios o HTML a través de un título de nodo, lel cual se utiliza como el título por defecto de un bloque webform. • http://www.openwall.com/lists/oss-security/2015/03/22/35 http://www.openwall.com/lists/oss-security/2015/04/25/6 http://www.securityfocus.com/bid/72993 https://www.drupal.org/node/2445291 https://www.drupal.org/node/2445295 https://www.drupal.org/node/2445297 https://www.drupal.org/node/2445935 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 27EXPL: 0

Cross-site scripting (XSS) vulnerability in the Webform module 6.x-3.x before 6.x-3.19 for Drupal allows remote authenticated users with the "edit own webform content" or "edit all webform content" permissions to inject arbitrary web script or HTML via a component label. Vulnerabilidad XSS en el módulo WebForm 6.x-3.x anterior 6.x-3.19 para Drupal permite a usuarios autenticados con los permisos para edit own webform content" o "edit all webform content" inyectar secuencias de comandos web o HTML arbitrarias a través de una etiqueta del componente. • http://osvdb.org/93749 http://secunia.com/advisories/53184 http://www.securityfocus.com/bid/60218 https://drupal.org/node/2007390 https://drupal.org/node/2007460 https://exchange.xforce.ibmcloud.com/vulnerabilities/84628 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 3.5EPSS: 0%CPEs: 44EXPL: 0

Cross-site scripting (XSS) vulnerability in the Webform module 5.x before 5.x-2.8 and 6.x before 6.x-2.8, a module for Drupal, allows remote authenticated users, with webform creation privileges, to inject arbitrary web script or HTML via a field label. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo para Drupal Webform v5.x anterior a v5.x-2.8 y v6.x anterior a v6.x-2.8, permite a usuarios autenticados remotamente, con privilegio de creación en webform, inyectar secuencias de comandos web o HTML de su elección a través del campo "label". • http://drupal.org/node/604942 http://osvdb.org/58945 http://secunia.com/advisories/37021 http://www.securityfocus.com/bid/36708 http://www.vupen.com/english/advisories/2009/2923 https://exchange.xforce.ibmcloud.com/vulnerabilities/53796 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 44EXPL: 0

The Webform module 5.x before 5.x-2.8 and 6.x before 6.x-2.8, a module for Drupal, does not prevent caching of a page that contains token placeholders for a default value, which allows remote attackers to read session variables via unspecified vectors. El módulo Webform v5.x anteriores a v5.x-2.8 y v6.x anteriores a v6.x-2.8, un módulo para Drupal, no evita el almacenamiento en caché de una página que contiene una variable token con un valor por defecto, permitiendo a atacantes remotos leer variables de sesión mediante vectores no especificados. • http://drupal.org/node/604920 http://drupal.org/node/604922 http://drupal.org/node/604942 http://osvdb.org/58946 http://secunia.com/advisories/37021 http://www.securityfocus.com/bid/36708 http://www.vupen.com/english/advisories/2009/2923 https://exchange.xforce.ibmcloud.com/vulnerabilities/53797 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •