6 results (0.047 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

The _user_resource_create function in the Services module 7.x-3.x before 7.x-3.10 for Drupal uses a password of 1 when creating new user accounts, which makes it easier for remote attackers to guess the password via a brute force attack. La función _user_resource_create en el módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal utiliza una contraseña de 1 cuando crea cuentas nuevas para usuarios, lo que facilita a atacantes remotos adivinar la contraseña a través de un ataque de fuerza bruta. • http://cgit.drupalcode.org/services/commit/?id=809aafa https://www.drupal.org/node/2344389 https://www.drupal.org/node/2344423 • CWE-255: Credentials Management Errors •

CVSS: 6.8EPSS: 0%CPEs: 9EXPL: 0

Cross-site request forgery (CSRF) vulnerability in the Services module 6.x-3.x and 7.x-3.x before 7.x-3.4 for Drupal allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el modulo Services v6.x-3.x y v7.x-3.x anterior a v7.x-3.4 para Drupal permite a atacantes remotos secuestrar la autenticación de las víctimas a través de vectores no especificados desconocidos. • http://osvdb.org/93980 http://seclists.org/fulldisclosure/2013/Jun/23 http://secunia.com/advisories/53649 http://secunia.com/advisories/53661 http://www.securityfocus.com/bid/60356 https://drupal.org/node/2012366 https://drupal.org/node/2012982 https://exchange.xforce.ibmcloud.com/vulnerabilities/84791 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 2.1EPSS: 0%CPEs: 29EXPL: 0

The Services module 6.x-3.x before 6.x-3.3 and 7.x-3.x before 7.x-3.3 for Drupal allows remote authenticated users with the "access user profiles" permission to access arbitrary users' emails via vectors related to the "user index method" and "the path to the user resource." El módulo Services v6.x-3.x antes de v6.x-3.3 y v7.x-3.x antes de v7.x-3.3 para Drupal permite a usuarios remotos autenticados con el permiso de "acceso a perfiles de usuario" para acceder a correos electrónicos de usuarios de su elección a través de vectores relacionados con el "método del índice de usuario" y "la ruta de acceso al recurso de usuario". • http://drupal.org/node/1842022 http://drupal.org/node/1842026 http://drupal.org/node/1853200 http://www.openwall.com/lists/oss-security/2012/11/29/2 http://www.securityfocus.com/bid/56723 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0

Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not sign all required data in requests, which has unspecified impact, probably related to man-in-the-middle attacks that modify critical data and allow remote attackers to impersonate other users and gain privileges. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no firma todos los datos necesarios en las peticiones, cuyo impacto se desconoce, probablemente relacionado con ataques de hombre-en-el-medio (man-in-the-middle)que modifican datos críticos y permiten a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 https://exchange.xforce.ibmcloud.com/vulnerabilities/52438 • CWE-310: Cryptographic Issues •

CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0

Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not use timeouts for signed requests, which allows remote attackers to impersonate other users and gain privileges via a replay attack that sends the same request. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no emplea tiempos de espera para las peticiones firmadas, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios a través de un ataque de reproducción que envía la misma petición. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/52441 • CWE-310: Cryptographic Issues •