CVSS: 8.8EPSS: 1%CPEs: 11EXPL: 0CVE-2015-4393
https://notcve.org/view.php?id=CVE-2015-4393
15 Jun 2015 — The resource/endpoint for uploading files in the Services module 7.x-3.x before 7.x-3.12 for Drupal allows remote authenticated users with the "Save file information" permission to execute arbitrary code via a crafted filename. resource/endpoint para la subida de ficheros en el módulo Services 7.x-3.x anterior a 7.x-3.12 para Drupal permite a usuarios remotos autenticados con el permiso 'guardar la información del fichero' ejecutar código arbitrario a través de un nombre de fichero manipulado. • http://www.openwall.com/lists/oss-security/2015/04/25/6 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 0CVE-2015-4394
https://notcve.org/view.php?id=CVE-2015-4394
15 Jun 2015 — The Services module 7.x-3.x before 7.x-3.12 for Drupal allows remote attackers to bypass the field_access restriction and obtain sensitive private field information via unspecified vectors. El módulo Services 7.x-3.x anterior a 7.x-3.12 para Drupal permite a atacantes remotos evadir la restricción field_access y obtener información sensible de campos privados a través de vectores no especificados. • http://www.openwall.com/lists/oss-security/2015/04/25/6 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9151
https://notcve.org/view.php?id=CVE-2014-9151
01 Dec 2014 — The Services module 7.x-3.x before 7.x-3.10 for Drupal does not properly limit the rate of authentication attempts, which makes it easier for remote attackers to obtain access via a brute-force attack on the administrative password. El módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal no limita correctamente la velocidad de los intentos de autenticación, lo que facilita a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta sobre la contraseña de administración. • https://www.drupal.org/node/2344389 • CWE-284: Improper Access Control •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9153
https://notcve.org/view.php?id=CVE-2014-9153
01 Dec 2014 — Cross-site scripting (XSS) vulnerability in the Services module 7.x-3.x before 7.x-3.10 for Drupal allows remote authenticated users to inject arbitrary web script or HTML via the callback parameter in a JSONP response. Vulnerabilidad de XSS en el módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro callback en una respuesta JSONP. • https://www.drupal.org/node/2344389 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9152
https://notcve.org/view.php?id=CVE-2014-9152
01 Dec 2014 — The _user_resource_create function in the Services module 7.x-3.x before 7.x-3.10 for Drupal uses a password of 1 when creating new user accounts, which makes it easier for remote attackers to guess the password via a brute force attack. La función _user_resource_create en el módulo Services 7.x-3.x anterior a 7.x-3.10 para Drupal utiliza una contraseña de 1 cuando crea cuentas nuevas para usuarios, lo que facilita a atacantes remotos adivinar la contraseña a través de un ataque de fuerza bruta. • http://cgit.drupalcode.org/services/commit/?id=809aafa • CWE-255: Credentials Management Errors •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2013-2158
https://notcve.org/view.php?id=CVE-2013-2158
01 Jul 2013 — Cross-site request forgery (CSRF) vulnerability in the Services module 6.x-3.x and 7.x-3.x before 7.x-3.4 for Drupal allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el modulo Services v6.x-3.x y v7.x-3.x anterior a v7.x-3.4 para Drupal permite a atacantes remotos secuestrar la autenticación de las víctimas a través de vectores no especificados desconocidos. • http://osvdb.org/93980 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 29EXPL: 0CVE-2012-5586
https://notcve.org/view.php?id=CVE-2012-5586
26 Dec 2012 — The Services module 6.x-3.x before 6.x-3.3 and 7.x-3.x before 7.x-3.3 for Drupal allows remote authenticated users with the "access user profiles" permission to access arbitrary users' emails via vectors related to the "user index method" and "the path to the user resource." El módulo Services v6.x-3.x antes de v6.x-3.3 y v7.x-3.x antes de v7.x-3.3 para Drupal permite a usuarios remotos autenticados con el permiso de "acceso a perfiles de usuario" para acceder a correos electrónicos de usuarios de su elecci... • http://drupal.org/node/1842022 • CWE-264: Permissions, Privileges, and Access Controls •