CVSS: 2.1EPSS: 0%CPEs: 27EXPL: 0CVE-2010-3094
https://notcve.org/view.php?id=CVE-2010-3094
Multiple cross-site scripting (XSS) vulnerabilities in Drupal 6.x before 6.18 allow remote authenticated users with certain privileges to inject arbitrary web script or HTML via (1) an action description, (2) an action message, (3) a node, or (4) a taxonomy term, related to the actions feature and the trigger module. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Drupal v6.x anterior a v6.18 permiten a usuarios autenticados remotamente con ciertos privilegios inyectar código web o HTML de su eleccióna través de (1) una acción de descripción, (2) un acción de mensaje, (3) un nodo, o (4) un término de taxonomía, relacionado con la funcionalidad de acciones y el módulo del disparador. • http://drupal.org/node/880476 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42391 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 48EXPL: 2CVE-2009-4369
https://notcve.org/view.php?id=CVE-2009-4369
Cross-site scripting (XSS) vulnerability in the Contact module (modules/contact/contact.admin.inc or modules/contact/contact.module) in Drupal Core 5.x before 5.21 and 6.x before 6.15 allows remote authenticated users with "administer site-wide contact form" permissions to inject arbitrary web script or HTML via the contact category name. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Contact (modules/contact/contact.admin.inc o modules/contact/contact.module) en Drupal Core v5.x anteriores a v5.21 y v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para "administrar formularios de contacto en todo el sitio" inyectar secuencias de comandos web o HTML de su elección mediante el nombre de categoría del contacto. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://secunia.com/advisories/37824 http://www.madirish.net/?article=441 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54867 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 23EXPL: 0CVE-2009-4370
https://notcve.org/view.php?id=CVE-2009-4370
Cross-site scripting (XSS) vulnerability in the Menu module (modules/menu/menu.admin.inc) in Drupal Core 6.x before 6.15 allows remote authenticated users with permissions to create new menus to inject arbitrary web script or HTML via a menu description, which is not properly handled in the menu administration overview. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Menu (modules/menu/menu.admin.inc) en Drupal Core v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para crear menús inyectar secuencias de comandos web o HTML de su elección mediante una descripción de menú, que no es manejado adecuadamente en la vista general del menú de administración. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2009-3352
https://notcve.org/view.php?id=CVE-2009-3352
Multiple unspecified vulnerabilities in the quota_by_role (Quota by role) module for Drupal have unknown impact and attack vectors. Múltiples vulnerabilidades no especificadas en el módulo quota_by_role (Quota by role) de Drupal, tienen impacto y vectores de ataque desconocidos. • http://drupal.org/node/572852 http://www.securityfocus.com/bid/36330 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2009-2372
https://notcve.org/view.php?id=CVE-2009-2372
Drupal 6.x before 6.13 does not prevent users from modifying user signatures after the associated comment format has been changed to an administrator-controlled input format, which allows remote authenticated users to inject arbitrary web script, HTML, and possibly PHP code via a crafted user signature. Drupal v.6x anteriores a v.6.13 no impide a los usuarios modificar sus firmas después de que el formato comentado asociado ha sido cambiado a un formato de entrada controlado por administrador, que permite a usuarios autentificados remotamente inyectar codigo web, HTML y posiblemente código PHP, a su elección, a través de la firma Crafted user. • http://drupal.org/node/507572 http://osvdb.org/55525 http://secunia.com/advisories/35681 http://www.securitytracker.com/id?1022497 • CWE-94: Improper Control of Generation of Code ('Code Injection') •