CVE-2009-4371
https://notcve.org/view.php?id=CVE-2009-4371
Cross-site scripting (XSS) vulnerability in the Locale module (modules/locale/locale.module) in Drupal Core 6.14, and possibly other versions including 6.15, allows remote authenticated users with "administer languages" permissions to inject arbitrary web script or HTML via the (1) Language name in English or (2) Native language name fields in the Custom language form. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Locale (modules/locale/locale.module) en Drupal Core v6.14, y posiblemente otras versiones incluyendo la v6.15, permite a usuarios autenticados remotamente con permisos para "administración de lenguajes" inyectar secuencias de comandos web o HTML de su elección mediante los campos (1) "Language name" en inglés o (2) "Native language name" en el formulario "Custom language". • http://secunia.com/advisories/37825 http://www.madirish.net/?article=442 https://exchange.xforce.ibmcloud.com/vulnerabilities/54873 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-4370
https://notcve.org/view.php?id=CVE-2009-4370
Cross-site scripting (XSS) vulnerability in the Menu module (modules/menu/menu.admin.inc) in Drupal Core 6.x before 6.15 allows remote authenticated users with permissions to create new menus to inject arbitrary web script or HTML via a menu description, which is not properly handled in the menu administration overview. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Menu (modules/menu/menu.admin.inc) en Drupal Core v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para crear menús inyectar secuencias de comandos web o HTML de su elección mediante una descripción de menú, que no es manejado adecuadamente en la vista general del menú de administración. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-3352
https://notcve.org/view.php?id=CVE-2009-3352
Multiple unspecified vulnerabilities in the quota_by_role (Quota by role) module for Drupal have unknown impact and attack vectors. Múltiples vulnerabilidades no especificadas en el módulo quota_by_role (Quota by role) de Drupal, tienen impacto y vectores de ataque desconocidos. • http://drupal.org/node/572852 http://www.securityfocus.com/bid/36330 •
CVE-2009-2373
https://notcve.org/view.php?id=CVE-2009-2373
Cross-site scripting (XSS) vulnerability in the Forum module in Drupal 6.x before 6.13 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Forum en Drupal v.6.x anteriores a v.6.13 permite a los atacantes remotos inyectar código web o HTM a través de vectores no especificados. • http://drupal.org/node/507572 http://osvdb.org/55524 http://secunia.com/advisories/35681 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-2372
https://notcve.org/view.php?id=CVE-2009-2372
Drupal 6.x before 6.13 does not prevent users from modifying user signatures after the associated comment format has been changed to an administrator-controlled input format, which allows remote authenticated users to inject arbitrary web script, HTML, and possibly PHP code via a crafted user signature. Drupal v.6x anteriores a v.6.13 no impide a los usuarios modificar sus firmas después de que el formato comentado asociado ha sido cambiado a un formato de entrada controlado por administrador, que permite a usuarios autentificados remotamente inyectar codigo web, HTML y posiblemente código PHP, a su elección, a través de la firma Crafted user. • http://drupal.org/node/507572 http://osvdb.org/55525 http://secunia.com/advisories/35681 http://www.securitytracker.com/id?1022497 • CWE-94: Improper Control of Generation of Code ('Code Injection') •