CVE-2015-6658
https://notcve.org/view.php?id=CVE-2015-6658
Cross-site scripting (XSS) vulnerability in the Autocomplete system in Drupal 6.x before 6.37 and 7.x before 7.39 allows remote attackers to inject arbitrary web script or HTML via a crafted URL, related to uploading files. Vulnerabilidad de XSS en el sistema Autocomplete en Drupal 6.x en versiones anteriores a 6.37 y 7.x en versiones anteriores a 7.39, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada, relacionado con la carga de archivos. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165690.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165704.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165723.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165733.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165840.html http://www.debian.org • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-6660
https://notcve.org/view.php?id=CVE-2015-6660
The Form API in Drupal 6.x before 6.37 and 7.x before 7.39 does not properly validate the form token, which allows remote attackers to conduct CSRF attacks that upload files in a different user's account via vectors related to "file upload value callbacks." Vulnerabilidad en la API Form en Drupal 6.x en versiones anteriores a 6.37 y 7.x en versiones anteriores a 7.39, no valida correctamente el token form, lo cual permite a atacantes remotos realizar ataques CSRF que cargan archivos en diferentes cuentas de usuario a través de vectores relacionados con 'valores devueltos en la carga de archivo'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165690.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165704.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165723.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165733.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165840.html http://www.debian.org • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2015-3234
https://notcve.org/view.php?id=CVE-2015-3234
The OpenID module in Drupal 6.x before 6.36 and 7.x before 7.38 allows remote attackers to log into other users' accounts by leveraging an OpenID identity from certain providers, as demonstrated by the Verisign, LiveJournal, and StackExchange providers. El módulo OpenID en Drupal 6.x anterior a 6.36 y 7.x anterior a 7.38 permite a atacantes remotos iniciar sesión en las cuentas de otros usuarios mediante el aprovechamiento de una identidad OpenID de ciertos proveedores, tal y como fue demostrado por los proveedores Verisign, LiveJournal, y StackExchange. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161265.html http://www.debian.org/security/2015/dsa-3291 http://www.securityfocus.com/bid/75294 https://www.drupal.org/SA-CORE-2015-002 • CWE-20: Improper Input Validation •
CVE-2015-3233
https://notcve.org/view.php?id=CVE-2015-3233
Open redirect vulnerability in the Overlay module in Drupal 7.x before 7.38 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via unspecified vectors. Vulnerabilidad de la redirección abierta en el módulo Overlay en Drupal 7.x anterior a 7.38 permite a atacantes remotos autenticados redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de vectores no especificados. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161265.html http://www.debian.org/security/2015/dsa-3291 http://www.openwall.com/lists/oss-security/2015/07/04/4 http://www.securityfocus.com/bid/75279 http://www.securityfocus.com/bid/75280 http://www.securityfocus.com/bid/75284 https://www.drupal.org/SA-CORE-2015-002 https://www.drupal.org/node/2507535 https://www.drupal •
CVE-2015-3232
https://notcve.org/view.php?id=CVE-2015-3232
Open redirect vulnerability in the Field UI module in Drupal 7.x before 7.38 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the destinations parameter. Vulnerabilidad de la redirección abierta en el módulo Field UI en Drupal 7.x anterior a 7.38 permite a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de una URL en el parámetro destinations. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161265.html http://www.debian.org/security/2015/dsa-3291 http://www.securityfocus.com/bid/75287 https://www.drupal.org/SA-CORE-2015-002 •