Page 10 of 58 results (0.009 seconds)

CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0

When adding a private file via the editor in Drupal 8.2.x before 8.2.7, the editor will not correctly check access for the file being attached, resulting in an access bypass. Cuando se añade un archivo privado a través del editor en Drupal 8.2.x en versiones anteriores a 8.2.7, el editor no comprobará correctamente el acceso para el archivo que se adjunta, resultando en una elusión de acceso. • http://www.securityfocus.com/bid/96919 http://www.securitytracker.com/id/1038058 https://www.drupal.org/SA-2017-001 • CWE-863: Incorrect Authorization •

CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0

Some administrative paths in Drupal 8.2.x before 8.2.7 did not include protection for CSRF. This would allow an attacker to disable some blocks on a site. This issue is mitigated by the fact that users would have to know the block ID. Algunos caminos administrativos en Drupal 8.2.x en versiones anteriores a 8.2.7 no incluyeron protección para CSRF. Esto permitiría a un atacante deshabilitar algunos bloques en un sitio. • http://www.securityfocus.com/bid/96919 http://www.securitytracker.com/id/1038058 https://www.drupal.org/SA-2017-001 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 117EXPL: 0

The taxonomy module in Drupal 7.x before 7.52 and 8.x before 8.2.3 might allow remote authenticated users to obtain sensitive information about taxonomy terms by leveraging inconsistent naming of access query tags. El módulo de taxonomía en Drupal 7.x en versiones anteriores a 7.52 y 8.x en versiones anteriores a 8.2.3 podría permitir a usuarios remotos autenticados obtener información sensible sobre términos de taxonomía aprovechando nomenclatura inconsistente de las etiquetas de consulta de acceso. • http://www.debian.org/security/2016/dsa-3718 http://www.securityfocus.com/bid/94367 https://www.drupal.org/SA-CORE-2016-005 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.5EPSS: 0%CPEs: 61EXPL: 0

The transliterate mechanism in Drupal 8.x before 8.2.3 allows remote attackers to cause a denial of service via a crafted URL. El mecanismo de transliteración en Drupal 8.x en versiones anteriores a 8.2.3 permite a atacantes remotos provocar una denegación de servicio a través de una URL manipulada. • http://www.securityfocus.com/bid/94367 https://www.drupal.org/SA-CORE-2016-005 • CWE-20: Improper Input Validation •

CVSS: 7.5EPSS: 0%CPEs: 61EXPL: 0

The user password reset form in Drupal 8.x before 8.2.3 allows remote attackers to conduct cache poisoning attacks by leveraging failure to specify a correct cache context. El formulario de reseteo de contraseña de usuario en Drupal 8.x en versiones anteriores a 8.2.3 permite a atacantes remotos llevar a cabo ataques de envenenamiento de caché aprovechando un error para especificar un contexto de caché correcto. • http://www.securityfocus.com/bid/94367 https://www.drupal.org/SA-CORE-2016-005 • CWE-345: Insufficient Verification of Data Authenticity •