CVE-2007-6752 – Drupal 7.12 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2007-6752
Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off. ** DISCUTIDO ** Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Drupal 7.12 y anteriores permite a atacantes remotos secuestrar la autenticación de los usuarios arbitrarios para solicitudes que terminan una sesión a través de la URI usuario / cierre de sesión. NOTA: el vendedor se opone a la importancia de esta cuestión, teniendo en cuenta el "beneficio de la seguridad frente a la complejidad y la plataforma de impacto en el rendimiento" y la conclusión de que un cambio en el comportamiento de cierre de sesión no está previsto porque "la mayoría de los sitios no vale la pena la compensación." • https://www.exploit-db.com/exploits/18564 http://drupal.org/node/144538 http://groups.drupal.org/node/216314 http://ivanobinetti.blogspot.it/2012/03/drupal-cms-712-latest-stable-release.html http://packetstormsecurity.org/files/110404/drupal712-xsrf.txt http://www.exploit-db.com/exploits/18564 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2011-3730
https://notcve.org/view.php?id=CVE-2011-3730
Drupal 7.0 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by modules/simpletest/tests/upgrade/drupal-6.upload.database.php and certain other files. Drupal v7.0 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con modules/simpletest/tests/upgrade/drupal-6.upload.database.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/drupal-7.0 http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2011-2687
https://notcve.org/view.php?id=CVE-2011-2687
Drupal 7.x before 7.3 allows remote attackers to bypass intended node_access restrictions via vectors related to a listing that shows nodes but lacks a JOIN clause for the node table. Drupal 7.x en versiones anteriores a la 7.3 permite a atacantes remotos evitar las restricciones previstas node_access a través de vectores relacionados con un listado que muestra nodos pero falla una claúsula JOIN en la tabla de nodos. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=633385 http://drupal.org/node/1204582 http://lists.fedoraproject.org/pipermail/package-announce/2011-July/062714.html http://lists.fedoraproject.org/pipermail/package-announce/2011-July/062722.html http://secunia.com/advisories/45081 http://secunia.com/advisories/45291 http://www.openwall.com/lists/oss-security/2011/07/11/2 http://www.openwall.com/lists/oss-security/2011/07/12/16 http://www.securityfocus.com/bid/48505 https: • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2009-3352
https://notcve.org/view.php?id=CVE-2009-3352
Multiple unspecified vulnerabilities in the quota_by_role (Quota by role) module for Drupal have unknown impact and attack vectors. Múltiples vulnerabilidades no especificadas en el módulo quota_by_role (Quota by role) de Drupal, tienen impacto y vectores de ataque desconocidos. • http://drupal.org/node/572852 http://www.securityfocus.com/bid/36330 •