CVE-2012-1637
https://notcve.org/view.php?id=CVE-2012-1637
Cross-site scripting vulnerability (XSS) in the Quick Tabs module 6.x-2.x before 6.x-2.1, 6.x-3.x before 6.x-3.1, and 7.x-3.x before 7.x-3.3 for Drupal. Una vulnerabilidad de tipo cross-site scripting (XSS) en el módulo Quick Tabs versiones 6.x-2.x anteriores a 6.x-2.1, 6.x-3.x anteriores a 6.x-3.1 y 7.x-3.x anteriores a 7.x-3.3 para Drupal. • http://www.openwall.com/lists/oss-security/2012/04/07/1 https://www.drupal.org/node/1409476 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-2726
https://notcve.org/view.php?id=CVE-2011-2726
An access bypass issue was found in Drupal 7.x before version 7.5. If a Drupal site has the ability to attach File upload fields to any entity type in the system or has the ability to point individual File upload fields to the private file directory in comments, and the parent node is denied access, non-privileged users can still download the file attached to the comment if they know or guess its direct URL. Se encontró un problema de omisión de acceso en Drupal versiones 7.x anteriores a la versión 7.5. Si un sitio de Drupal posee la capacidad de adjuntar campos de carga de Archivos hacia cualquier tipo de entidad en el sistema o tiene la capacidad de apuntar campos de carga de Archivos individuales hacia el directorio de archivos privados en comentarios, y el nodo principal tiene acceso denegado, los usuarios no privilegiados pueden aún descargar el archivo adjunto en el comentario si conocen o adivinan su URL directa. • http://www.openwall.com/lists/oss-security/2012/03/19/10 http://www.openwall.com/lists/oss-security/2012/03/20/14 https://access.redhat.com/security/cve/cve-2011-2726 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-2726 https://security-tracker.debian.org/tracker/CVE-2011-2726 https://www.drupal.org/node/1231510 • CWE-863: Incorrect Authorization •
CVE-2019-18856
https://notcve.org/view.php?id=CVE-2019-18856
A Denial Of Service vulnerability exists in the SVG Sanitizer module through 8.x-1.0-alpha1 for Drupal because access to external resources with an SVG use element is mishandled. Se presenta una vulnerabilidad de Denegación de Servicio en el módulo SVG Sanitizer versiones hasta 8.x-1.0-alpha1 para Drupal, porque el acceso a recursos externos con un elemento de uso de SVG es manejado inapropiadamente. • https://fortiguard.com/zeroday/FG-VD-19-115 https://git.drupalcode.org/project/svg_sanitizer/commit/e1b0666 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2010-2473
https://notcve.org/view.php?id=CVE-2010-2473
Drupal 6.x before 6.16 and 5.x before version 5.22 does not properly block users under certain circumstances. A user with an open session that was blocked could maintain their session on the Drupal site despite being blocked. Drupal versiones 6.x anteriores a 6.16 y versiones 5.x anteriores a 5.22, no bloquea apropiadamente a usuarios bajo determinadas circunstancias. Un usuario con una sesión abierta que fue bloqueada podría mantener su sesión en el sitio de Drupal a pesar de estar bloqueado. • https://security-tracker.debian.org/tracker/CVE-2010-2473 https://www.drupal.org/node/731710 https://www.openwall.com/lists/oss-security/2010/06/28/8 • CWE-20: Improper Input Validation •
CVE-2010-2472
https://notcve.org/view.php?id=CVE-2010-2472
Locale module and dependent contributed modules in Drupal 6.x before 6.16 and 5.x before version 5.22 do not sanitize the display of language codes, native and English language names properly which could allow an attacker to perform a cross-site scripting (XSS) attack. This vulnerability is mitigated by the fact that an attacker must have a role with the 'administer languages' permission. El módulo local y los módulos contribuidos dependientes en Drupal versiones 6.x anteriores a 6.16 y versiones 5.x anteriores a 5.22, no sanean apropiadamente la visualización de códigos de Idioma, nombres nativos y de idioma Inglés, lo que podría permitir a un atacante llevar a cabo un ataque de tipo cross-site scripting (XSS). Esta vulnerabilidad es mitigada por el hecho de que un atacante necesita tener un rol con el permiso de "administer languages". • https://security-tracker.debian.org/tracker/CVE-2010-2472 https://www.drupal.org/node/731710 https://www.openwall.com/lists/oss-security/2010/06/28/8 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •