CVSS: 5.1EPSS: 1%CPEs: 2EXPL: 1CVE-2012-4472
https://notcve.org/view.php?id=CVE-2012-4472
Unrestricted file upload vulnerability in upload.php in the Drag & Drop Gallery module 6.x-1.5 and earlier for Drupal allows remote attackers to execute arbitrary PHP code by uploading a file with an executable extension followed by a safe extension, then accessing it via a direct request to the directory specified by the filedir parameter. Una vulnerabilidad de subida de archivos sin restriccionesen en upload.php en el módulo Drag & Drop Gallery v6.x-1.5 y anteriores para Drupal permite a atacantes remotos ejecutar código PHP de su elección mediante la carga de un archivo con extensión ejecutable seguido de una extensión segura, para a continuación acceder al mismo mediante una solicitud directa al directorio especificado por el parámetro filedir. • http://drupal.org/node/1679442 http://secunia.com/advisories/49698 http://www.opensyscom.fr/Actualites/drupal-modules-drag-a-drop-gallery-arbitrary-file-upload-vulnerability.html http://www.openwall.com/lists/oss-security/2012/10/04/5 http://www.securityfocus.com/bid/54380 •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4476
https://notcve.org/view.php?id=CVE-2012-4476
Cross-site scripting (XSS) vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Drag & Drop Gallery de Drupal v6.x permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4477
https://notcve.org/view.php?id=CVE-2012-4477
Unspecified vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to bypass access restrictions via unknown attack vectors. Vulnerabilidad no especificada en el módulo Drag & Drop Gallery v6.x para Drupal permite a atacantes remotos evitar restricciones de acceso a través de vectores desconocidos. • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4478
https://notcve.org/view.php?id=CVE-2012-4478
Cross-site request forgery (CSRF) vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to hijack the authentication of administrators. Vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en el módulo Drag & Drop Gallery v6.x para Drupal permite a atacantes remotos secuestrar la autenticación de administradores • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4479
https://notcve.org/view.php?id=CVE-2012-4479
SQL injection vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el módulo Drag & Drop Gallery v6.x para Drupal permite a atacantes remotos ejecutar comandos SQL a través de vectores no especificados. • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •