CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 2CVE-2008-5998 – Drupal Module Ajax Checklist 5.x-1.0 - Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2008-5998
Multiple SQL injection vulnerabilities in the ajax_checklist_save function in the Ajax Checklist module 5.x before 5.x-1.1 for Drupal allow remote authenticated users, with "update ajax checklists" permissions, to execute arbitrary SQL commands via a save operation, related to the (1) nid, (2) qid, and (3) state parameters. Múltiples vulnerabilidades de inyección SQL en la función ajax_checklist_save en el módulo Ajax Checklist v5.x anterior a v5.x-1.1 para Drupal, permite a usuarios autenticados remotamente, con permisos "update ajax checklists (actualizar las listas de control ajax)", ejecutar comandos SQL de su elección a través de una operación de guardado, relacionado con los parámetros (1) "nid", (2) "qid" y (3) "state". • https://www.exploit-db.com/exploits/32415 http://drupal.org/node/312968 http://secunia.com/advisories/32009 http://www.securityfocus.com/archive/1/496727/100/0/threaded http://www.securityfocus.com/bid/31384 https://exchange.xforce.ibmcloud.com/vulnerabilities/45410 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 3.5EPSS: 0%CPEs: 2EXPL: 0CVE-2008-5999
https://notcve.org/view.php?id=CVE-2008-5999
Cross-site scripting (XSS) vulnerability in the Ajax Checklist module 5.x before 5.x-1.1 for Drupal allows remote authenticated users, with create and edit permissions for posts, to inject arbitrary web script or HTML via unspecified vectors involving the ajax_checklist filter. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Ajax Checklist v5.x amterior a v5.x-1.1 para Drupal, permite a usuarios autenticados remotamente, con permisos de creación y edición de los post(hilos de foros, opiniones, etc), la inyección de secuencias de comandos web o HTML de su elección a través de vectores no especificados que involucran al filtro ajax_checklist. • http://drupal.org/node/312968 http://secunia.com/advisories/32009 https://exchange.xforce.ibmcloud.com/vulnerabilities/45412 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 15EXPL: 0CVE-2008-5996
https://notcve.org/view.php?id=CVE-2008-5996
Cross-site scripting (XSS) vulnerability in the Simplenews module 5.x before 5.x-1.5 and 6.x before 6.x-1.0-beta4, a module for Drupal, allows remote authenticated users, with "administer taxonomy" permissions, to inject arbitrary web script or HTML via a Newsletter category field. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Simplenews v5.x anterior a v5.x-1.5 y v6.x previo a v6.x-1.0-beta4, para Drupal, permite a usuarios autenticados remotamente con "administrar taxonomy (administer taxonomy)" inyectar secuencias de comandos web o HTML de su elección a través de un campo de la categoría Newsletter. • http://drupal.org/node/312944 http://secunia.com/advisories/32022 http://www.securityfocus.com/bid/31377 https://exchange.xforce.ibmcloud.com/vulnerabilities/45407 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.0EPSS: 0%CPEs: 15EXPL: 0CVE-2008-4790
https://notcve.org/view.php?id=CVE-2008-4790
The core upload module in Drupal 5.x before 5.11 allows remote authenticated users to bypass intended access restrictions and read "files attached to content" via unknown vectors. El módulo central de subidas de Drupal 5.x Anterior a 5.11 permite a un usuario remoto autentificado sobrepasar las restricciones de acceso y leer "archivos adjuntos al contenido" mediante un método desconocido. • http://drupal.org/node/318706 http://secunia.com/advisories/32198 http://secunia.com/advisories/32200 http://www.openwall.com/lists/oss-security/2008/10/21/7 https://exchange.xforce.ibmcloud.com/vulnerabilities/45758 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.0EPSS: 0%CPEs: 13EXPL: 0CVE-2008-4789
https://notcve.org/view.php?id=CVE-2008-4789
The validation functionality in the core upload module in Drupal 6.x before 6.5 allows remote authenticated users to bypass intended access restrictions and "attach files to content," related to a "logic error." La funcionalidad de validación del núcleo del módulo de subida en Drupal 6.x anterior a 6.5 permite a un usuario remoto autentificado sobrepasar las restricciones de acceso y "añadir archivos al contenido"; está relacionado con un "error lógico". • http://drupal.org/node/318706 http://secunia.com/advisories/32198 http://www.openwall.com/lists/oss-security/2008/10/21/7 https://exchange.xforce.ibmcloud.com/vulnerabilities/45755 • CWE-264: Permissions, Privileges, and Access Controls •