CVE-2015-4394
https://notcve.org/view.php?id=CVE-2015-4394
The Services module 7.x-3.x before 7.x-3.12 for Drupal allows remote attackers to bypass the field_access restriction and obtain sensitive private field information via unspecified vectors. El módulo Services 7.x-3.x anterior a 7.x-3.12 para Drupal permite a atacantes remotos evadir la restricción field_access y obtener información sensible de campos privados a través de vectores no especificados. • http://www.openwall.com/lists/oss-security/2015/04/25/6 http://www.securityfocus.com/bid/74365 https://www.drupal.org/node/2471847 https://www.drupal.org/node/2471879 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-4393
https://notcve.org/view.php?id=CVE-2015-4393
The resource/endpoint for uploading files in the Services module 7.x-3.x before 7.x-3.12 for Drupal allows remote authenticated users with the "Save file information" permission to execute arbitrary code via a crafted filename. resource/endpoint para la subida de ficheros en el módulo Services 7.x-3.x anterior a 7.x-3.12 para Drupal permite a usuarios remotos autenticados con el permiso 'guardar la información del fichero' ejecutar código arbitrario a través de un nombre de fichero manipulado. • http://www.openwall.com/lists/oss-security/2015/04/25/6 http://www.securityfocus.com/bid/74365 https://www.drupal.org/node/2471847 https://www.drupal.org/node/2471879 • CWE-20: Improper Input Validation •
CVE-2014-9151
https://notcve.org/view.php?id=CVE-2014-9151
The Services module 7.x-3.x before 7.x-3.10 for Drupal does not properly limit the rate of authentication attempts, which makes it easier for remote attackers to obtain access via a brute-force attack on the administrative password. El módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal no limita correctamente la velocidad de los intentos de autenticación, lo que facilita a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta sobre la contraseña de administración. • https://www.drupal.org/node/2344389 https://www.drupal.org/node/2344423 • CWE-284: Improper Access Control •
CVE-2014-9152
https://notcve.org/view.php?id=CVE-2014-9152
The _user_resource_create function in the Services module 7.x-3.x before 7.x-3.10 for Drupal uses a password of 1 when creating new user accounts, which makes it easier for remote attackers to guess the password via a brute force attack. La función _user_resource_create en el módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal utiliza una contraseña de 1 cuando crea cuentas nuevas para usuarios, lo que facilita a atacantes remotos adivinar la contraseña a través de un ataque de fuerza bruta. • http://cgit.drupalcode.org/services/commit/?id=809aafa https://www.drupal.org/node/2344389 https://www.drupal.org/node/2344423 • CWE-255: Credentials Management Errors •
CVE-2014-9153
https://notcve.org/view.php?id=CVE-2014-9153
Cross-site scripting (XSS) vulnerability in the Services module 7.x-3.x before 7.x-3.10 for Drupal allows remote authenticated users to inject arbitrary web script or HTML via the callback parameter in a JSONP response. Vulnerabilidad de XSS en el módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro callback en una respuesta JSONP. • https://www.drupal.org/node/2344389 https://www.drupal.org/node/2344423 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •