CVSS: 5.5EPSS: 0%CPEs: 55EXPL: 0CVE-2010-3092
https://notcve.org/view.php?id=CVE-2010-3092
The upload module in Drupal 5.x before 5.23 and 6.x before 6.18 does not properly support case-insensitive filename handling in a database configuration, which allows remote authenticated users to bypass the intended restrictions on downloading a file by uploading a different file with a similar name. El módulo de carga en Drupal v5.x anterior a v5.23 y v6.x anterior a v6.18 no soporta apropiadamente la manipulación de nombres de archivos insensibles a mayúsculas y minúsculas en la configuración de la base de datos, lo que permite a usuarios autenticados remotamente evitar restricciones pretendidas en la descarga de un fichero mediante la carga de un fichero diferente con un nombre similar. • http://drupal.org/node/880476 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42391 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 2.1EPSS: 0%CPEs: 27EXPL: 0CVE-2010-3094
https://notcve.org/view.php?id=CVE-2010-3094
Multiple cross-site scripting (XSS) vulnerabilities in Drupal 6.x before 6.18 allow remote authenticated users with certain privileges to inject arbitrary web script or HTML via (1) an action description, (2) an action message, (3) a node, or (4) a taxonomy term, related to the actions feature and the trigger module. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Drupal v6.x anterior a v6.18 permiten a usuarios autenticados remotamente con ciertos privilegios inyectar código web o HTML de su eleccióna través de (1) una acción de descripción, (2) un acción de mensaje, (3) un nodo, o (4) un término de taxonomía, relacionado con la funcionalidad de acciones y el módulo del disparador. • http://drupal.org/node/880476 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42391 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 48EXPL: 2CVE-2009-4369
https://notcve.org/view.php?id=CVE-2009-4369
Cross-site scripting (XSS) vulnerability in the Contact module (modules/contact/contact.admin.inc or modules/contact/contact.module) in Drupal Core 5.x before 5.21 and 6.x before 6.15 allows remote authenticated users with "administer site-wide contact form" permissions to inject arbitrary web script or HTML via the contact category name. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Contact (modules/contact/contact.admin.inc o modules/contact/contact.module) en Drupal Core v5.x anteriores a v5.21 y v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para "administrar formularios de contacto en todo el sitio" inyectar secuencias de comandos web o HTML de su elección mediante el nombre de categoría del contacto. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://secunia.com/advisories/37824 http://www.madirish.net/?article=441 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54867 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 23EXPL: 0CVE-2009-4370
https://notcve.org/view.php?id=CVE-2009-4370
Cross-site scripting (XSS) vulnerability in the Menu module (modules/menu/menu.admin.inc) in Drupal Core 6.x before 6.15 allows remote authenticated users with permissions to create new menus to inject arbitrary web script or HTML via a menu description, which is not properly handled in the menu administration overview. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Menu (modules/menu/menu.admin.inc) en Drupal Core v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para crear menús inyectar secuencias de comandos web o HTML de su elección mediante una descripción de menú, que no es manejado adecuadamente en la vista general del menú de administración. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2009-3352
https://notcve.org/view.php?id=CVE-2009-3352
Multiple unspecified vulnerabilities in the quota_by_role (Quota by role) module for Drupal have unknown impact and attack vectors. Múltiples vulnerabilidades no especificadas en el módulo quota_by_role (Quota by role) de Drupal, tienen impacto y vectores de ataque desconocidos. • http://drupal.org/node/572852 http://www.securityfocus.com/bid/36330 •