CVSS: 3.5EPSS: 0%CPEs: 48EXPL: 2CVE-2009-4369
https://notcve.org/view.php?id=CVE-2009-4369
Cross-site scripting (XSS) vulnerability in the Contact module (modules/contact/contact.admin.inc or modules/contact/contact.module) in Drupal Core 5.x before 5.21 and 6.x before 6.15 allows remote authenticated users with "administer site-wide contact form" permissions to inject arbitrary web script or HTML via the contact category name. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Contact (modules/contact/contact.admin.inc o modules/contact/contact.module) en Drupal Core v5.x anteriores a v5.21 y v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para "administrar formularios de contacto en todo el sitio" inyectar secuencias de comandos web o HTML de su elección mediante el nombre de categoría del contacto. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://secunia.com/advisories/37824 http://www.madirish.net/?article=441 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54867 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 2EXPL: 1CVE-2009-4371
https://notcve.org/view.php?id=CVE-2009-4371
Cross-site scripting (XSS) vulnerability in the Locale module (modules/locale/locale.module) in Drupal Core 6.14, and possibly other versions including 6.15, allows remote authenticated users with "administer languages" permissions to inject arbitrary web script or HTML via the (1) Language name in English or (2) Native language name fields in the Custom language form. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Locale (modules/locale/locale.module) en Drupal Core v6.14, y posiblemente otras versiones incluyendo la v6.15, permite a usuarios autenticados remotamente con permisos para "administración de lenguajes" inyectar secuencias de comandos web o HTML de su elección mediante los campos (1) "Language name" en inglés o (2) "Native language name" en el formulario "Custom language". • http://secunia.com/advisories/37825 http://www.madirish.net/?article=442 https://exchange.xforce.ibmcloud.com/vulnerabilities/54873 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 23EXPL: 0CVE-2009-4370
https://notcve.org/view.php?id=CVE-2009-4370
Cross-site scripting (XSS) vulnerability in the Menu module (modules/menu/menu.admin.inc) in Drupal Core 6.x before 6.15 allows remote authenticated users with permissions to create new menus to inject arbitrary web script or HTML via a menu description, which is not properly handled in the menu administration overview. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Menu (modules/menu/menu.admin.inc) en Drupal Core v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para crear menús inyectar secuencias de comandos web o HTML de su elección mediante una descripción de menú, que no es manejado adecuadamente en la vista general del menú de administración. • http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch http://drupal.org/node/661586 http://secunia.com/advisories/37815 http://www.securityfocus.com/bid/37372 https://exchange.xforce.ibmcloud.com/vulnerabilities/54872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2009-4296
https://notcve.org/view.php?id=CVE-2009-4296
SQL injection vulnerability in the Taxonomy Timer module 5.x-1.8 and earlier and 6.x-alpha1 and earlier for Drupal allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el módulo Taxonomy Timer v5.x-1.8 y anteriores y v6.x-alpha1 v anteriores para Drupal permite a atacantes remotos ejecutar comandos SQL arbitrarios a través de vectores sin especi • http://drupal.org/node/641050 http://drupal.org/node/641064 http://drupal.org/node/649396 http://secunia.com/advisories/37573 http://www.securityfocus.com/bid/37189 http://www.vupen.com/english/advisories/2009/3388 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 41EXPL: 0CVE-2009-4207
https://notcve.org/view.php?id=CVE-2009-4207
Cross-site scripting (XSS) vulnerability in the Webform module 5.x before 5.x-2.7 and 6.x before 6.x-2.7, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via a submission. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Webform versiones v5.x anteriores a v5.x-2.7 y v6.x anteriores a v6.x-2.7, un módulo para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante un envío de formulario. • http://drupal.org/node/481258 http://drupal.org/node/481260 http://drupal.org/node/481268 http://secunia.com/advisories/35339 http://www.securityfocus.com/bid/35197 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •