CVSS: 5.8EPSS: 0%CPEs: 29EXPL: 0CVE-2013-2123
https://notcve.org/view.php?id=CVE-2013-2123
The Node access user reference module 6.x-3.x before 6.x-3.5 and 7.x-3.x before 7.x-3.10 for Drupal does not properly restrict access to content containing a user reference field when the author update/delete grants are enabled and the author's user account is deleted, which allows remote attackers to modify the content via unspecified vectors. El módulo de acceso de referencia al usuario Node 6.x-3.x anteior a 6.x-3.5 y 7.x-3.x anteior a 7.x-3.10 para Drupal no restringe adecuadamente el acceso al contenido que contiene un campo de referencia al usuario cuando el autor actualiza o elimina permisos y la cuenta de dicho autor es eliminada, lo que permite a atacantes remotos modificar el contenido a través de vectores no especificados. • http://www.openwall.com/lists/oss-security/2013/05/29/9 https://drupal.org/node/2007072 https://drupal.org/node/2007078 https://drupal.org/node/2007122 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 21EXPL: 0CVE-2009-1507
https://notcve.org/view.php?id=CVE-2009-1507
The Node Access User Reference module 5.x before 5.x-2.0-beta4 and 6.x before 6.x-2.0-beta6, a module for Drupal, interprets an empty CCK user reference as a reference to the anonymous user, which might allow remote attackers to bypass intended access restrictions to read or modify a node. El módulo Node Access User Reference v5.x anterior a v5.x-2.0-beta4 y v6.x anterior a v6.x-2.0-beta6, un módulo para Drupal, interpreta un referencia a usuario CCK vacía como una referencia al usuario anónimo, lo cual puede permitir a atacantes remotos eludir las restricciones de acceso para leer o modificar un nodo. • http://drupal.org/node/449030 http://secunia.com/advisories/34955 http://www.securityfocus.com/bid/34778 http://www.vupen.com/english/advisories/2009/1212 • CWE-264: Permissions, Privileges, and Access Controls •