CVE-2009-1844
https://notcve.org/view.php?id=CVE-2009-1844
Multiple cross-site scripting (XSS) vulnerabilities in Drupal 5.x before 5.18 and 6.x before 6.12 allow (1) remote authenticated users to inject arbitrary web script or HTML via crafted UTF-8 byte sequences that are treated as UTF-7 by Internet Explorer 6 and 7, which are not properly handled in the "HTML exports of books" feature; and (2) allow remote authenticated users with administer taxonomy permissions to inject arbitrary web script or HTML via the help text of an arbitrary vocabulary. NOTE: vector 1 exists because of an incomplete fix for CVE-2009-1575. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados(XSS) en Drupal v5.x anteriores a v5.18 y v6.x anteriores a v6.12 permite (1) a usuarios remotos autenticados inyectar secuencias de comandos web o HTML de su elección a través de secuencias UTF de 8 bytes que son tratadas como UTF 7 bytes por Internet Explorer 6 y 7, ya que no son manejadas de forma adecuada por la característica "HTML exports of books"; y (2) permite a usuarios remotos autenticados con una taxonomía de permisos de administrador, inyectar inyectar secuencias de comandos web o HTML de su elección a través del texto de ayuda de un vocabulario de su elección. NOTA: El vector (1) existe, debido a una solucion incompleta de la CVE-2009-1575. • http://drupal.org/node/461886 http://secunia.com/advisories/35282 http://www.debian.org/security/2009/dsa-1808 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-1823
https://notcve.org/view.php?id=CVE-2009-1823
Cross-site scripting (XSS) vulnerability in the Print (aka Printer, e-mail and PDF versions) module 5.x before 5.x-4.7 and 6.x before 6.x-1.7, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML by modifying a document head, before the Content-Type META element, to contain crafted UTF-8 byte sequences that are treated as UTF-7 by Internet Explorer 6 and 7, a related issue to CVE-2009-1575. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Print (también conocido como versiones Printer, e-mail y PDF) v5.x anteriores a v5.x-4.7 y v6.x anteriores a v6.x-1.7, un módulo para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección modificando la cabecera de un documento, antes del elemento Content-Type META, contiene secuencias UTF-8 byte manipuladas que se tratan como UTF-7 en Internet Explorer 6 and 7, un caso relacionado con CVE-2009-1575. • http://drupal.org/node/461674 http://osvdb.org/54427 http://secunia.com/advisories/35040 http://www.securityfocus.com/bid/34954 http://www.vupen.com/english/advisories/2009/1320 https://exchange.xforce.ibmcloud.com/vulnerabilities/50523 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-1738
https://notcve.org/view.php?id=CVE-2009-1738
Cross-site scripting (XSS) vulnerability in Feed Block 6.x-1.x before 6.x-1.1, a module for Drupal, allows remote authenticated users with administrator feed permissions to inject arbitrary web script or HTML via unspecified vectors in "aggregator items." Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Feed Block v6.x-1.x anteriores a v6.x-1.1, un módulo para Drupal, que permite a los usuarios remotos autenticados con permisos de administrador, inyectar arbitrariamente una secuencia de comandos web o HTML a través de vectores no especificados en "aggregator items". • http://drupal.org/node/453098 http://drupal.org/node/461706 http://secunia.com/advisories/35044 http://www.osvdb.org/54429 http://www.securityfocus.com/bid/34953 http://www.vupen.com/english/advisories/2009/1319 https://exchange.xforce.ibmcloud.com/vulnerabilities/50521 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-1576
https://notcve.org/view.php?id=CVE-2009-1576
Unspecified vulnerability in Drupal 5.x before 5.17 and 6.x before 6.11, as used in vbDrupal before 5.17.0, allows user-assisted remote attackers to obtain sensitive information by tricking victims into visiting the front page of the site with a crafted URL and causing form data to be sent to an attacker-controlled site, possibly related to multiple / (slash) characters that are not properly handled by includes/bootstrap.inc, as demonstrated using the search box. NOTE: this vulnerability can be leveraged to conduct cross-site request forgery (CSRF) attacks. Vulnerabilidad sin especificar en Drupal 5.x anterior a v5.17 y v6.x anterior a v6.11, usado en vbDrupal anterior a v5.17.0, permite a atacantes remotos asistidos por el usuario obtener información sensible engañando a las víctimas para que visiten la página de inicio a través de una URL manipulada y provocando que los datos de los formularios sean enviados a un sitio controlado por el atacante. Posiblemente relacionado con múltiples caracteres "/" (Slash) que no son manejados adecuadamente por includes/bootstrap.inc como ha sido demostrado usando el formulario de búsqueda. NOTA: esta vulnerabilidad puede ser aprovechada para llevar a cabo ataques de falsificación de petición en sitios cruzados (CSFR) • http://drupal.org/files/sa-core-2009-005/SA-CORE-2009-005-5.16.patch http://drupal.org/node/449078 http://secunia.com/advisories/34948 http://secunia.com/advisories/34950 http://secunia.com/advisories/34980 http://www.debian.org/security/2009/dsa-1792 http://www.osvdb.org/54153 http://www.vbdrupal.org/forum/showthread.php?p=9953#post9953 http://www.vupen.com/english/advisories/2009/1216 https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00108.htm •
CVE-2009-1575
https://notcve.org/view.php?id=CVE-2009-1575
Cross-site scripting (XSS) vulnerability in Drupal 5.x before 5.17 and 6.x before 6.11, as used in vbDrupal before 5.17.0, allows remote attackers to inject arbitrary web script or HTML via crafted UTF-8 byte sequences before the Content-Type meta tag, which are treated as UTF-7 by Internet Explorer 6 and 7. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Drupal v5.x anterior a v5.17 y v6.x anterior a v6.11, usado en vbDrupal anterior a v5.17.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de secuencias con bytes UTF-8 previas a los meta tags Content-Type que se tratan como UTF-7 en Internet Explorer 6 y 7. • http://drupal.org/node/449078 http://secunia.com/advisories/34948 http://secunia.com/advisories/34950 http://secunia.com/advisories/34980 http://www.debian.org/security/2009/dsa-1792 http://www.osvdb.org/54152 http://www.vbdrupal.org/forum/showthread.php?p=9953#post9953 http://www.vupen.com/english/advisories/2009/1216 https://exchange.xforce.ibmcloud.com/vulnerabilities/50250 https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00108.html https://www.redhat& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •