CVSS: 5.0EPSS: 0%CPEs: 20EXPL: 0CVE-2009-4558
https://notcve.org/view.php?id=CVE-2009-4558
The Image Assist module 5.x-1.x before 5.x-1.8, 5.x-2.x before 2.0-alpha4, 6.x-1.x before 6.x-1.1, 6.x-2.x before 2.0-alpha4, and 6.x-3.x-dev before 2009-07-15, a module for Drupal, does not properly enforce privilege requirements for unspecified pages, which allows remote attackers to read the (1) title or (2) body of an arbitrary node via unknown vectors. El módulo Image Assist v5.x-1.x anterior a v5.x-1.8, v5.x-2.x anterior a v2.0-alpha4, v6.x-1.x anterior a v6.x-1.1, v6.x-2.x anterior a v2.0-alpha4, y v6.x-3.x-dev anterior a v2009-07-15, para Drupal, no refuerza adecuadamente los requisitos de algunos privilegios para páginas que no se han especificado, lo que permite a atacantes remotos leer el (1)título (title) o (2)cuerpo (body) de un nodo de su elección a través de vectores no especificados. • http://drupal.org/node/520564 http://osvdb.org/55867 http://secunia.com/advisories/35879 http://www.securityfocus.com/bid/35710 https://exchange.xforce.ibmcloud.com/vulnerabilities/51787 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.6EPSS: 0%CPEs: 18EXPL: 0CVE-2009-4527
https://notcve.org/view.php?id=CVE-2009-4527
The Shibboleth authentication module 5.x before 5.x-3.4 and 6.x before 6.x-3.2, a module for Drupal, does not properly remove statically granted privileges after a logout or other session change, which allows physically proximate attackers to gain privileges by using an unattended web browser. El módulo de autenticación Shibboleth v5.x anterior a v5.x-3.4 y v6.x anterior a v6.x-3.2, un módulo para Drupal, no elimina adecuadamente los privilegios otorgados estáticamente después un cierre de sesión u otro cambio de sesión, lo que permite a atacantes próximos físicamente obtener privilegios utilizando un navegador web desatendido. • http://drupal.org/node/604488 http://secunia.com/advisories/37057 http://www.securityfocus.com/bid/36684 http://www.vupen.com/english/advisories/2009/2919 https://exchange.xforce.ibmcloud.com/vulnerabilities/53779 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 27EXPL: 0CVE-2009-4526
https://notcve.org/view.php?id=CVE-2009-4526
The Send by e-mail sub-module in the Print (aka Printer, e-mail and PDF versions) module 5.x before 5.x-4.9 and 6.x before 6.x-1.9, a module for Drupal, does not properly enforce privilege requirements, which allows remote attackers to read page titles by requesting a "Send to friend" form. El sub-módulo Send by e-mail en el módulo Print (también conocido como Printer, e-mail y versiones PDF) v5.x anterior a v5.x-4.9 y v6.x anterior a v6.x-1.9, para Drupal, no refuerza adecuadamente los privilegios, lo que permite a atacantes remotos leer los títulos de página solicitando un formulario "Send to a Friend" (Enviar a un amigo). • http://drupal.org/node/604804 http://drupal.org/node/604806 http://drupal.org/node/604808 http://osvdb.org/58951 http://secunia.com/advisories/37059 http://www.securityfocus.com/bid/36707 http://www.vupen.com/english/advisories/2009/2922 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 5EXPL: 0CVE-2009-4514
https://notcve.org/view.php?id=CVE-2009-4514
Cross-site scripting (XSS) vulnerability in the OpenSocial Shindig-Integrator module 5.x and 6.x before 6.x-2.1, a module for Drupal, allows remote authenticated users, with "create application" privileges, to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo OpenSocial Shindig-Integrator v5.x y v6.x anteriores a v6.x-2.1, un módulo para Drupal, permite a usuarios autenticados remotamente, con privilegios de "crear aplicación", inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados. • http://drupal.org/node/615584 http://drupal.org/node/617422 http://secunia.com/advisories/37200 http://www.securityfocus.com/bid/36862 http://www.vupen.com/english/advisories/2009/3087 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 44EXPL: 0CVE-2009-4532
https://notcve.org/view.php?id=CVE-2009-4532
Cross-site scripting (XSS) vulnerability in the Webform module 5.x before 5.x-2.8 and 6.x before 6.x-2.8, a module for Drupal, allows remote authenticated users, with webform creation privileges, to inject arbitrary web script or HTML via a field label. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo para Drupal Webform v5.x anterior a v5.x-2.8 y v6.x anterior a v6.x-2.8, permite a usuarios autenticados remotamente, con privilegio de creación en webform, inyectar secuencias de comandos web o HTML de su elección a través del campo "label". • http://drupal.org/node/604942 http://osvdb.org/58945 http://secunia.com/advisories/37021 http://www.securityfocus.com/bid/36708 http://www.vupen.com/english/advisories/2009/2923 https://exchange.xforce.ibmcloud.com/vulnerabilities/53796 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •