Page 13 of 80 results (0.011 seconds)

CVSS: 6.0EPSS: 0%CPEs: 13EXPL: 0

The validation functionality in the core upload module in Drupal 6.x before 6.5 allows remote authenticated users to bypass intended access restrictions and "attach files to content," related to a "logic error." La funcionalidad de validación del núcleo del módulo de subida en Drupal 6.x anterior a 6.5 permite a un usuario remoto autentificado sobrepasar las restricciones de acceso y "añadir archivos al contenido"; está relacionado con un "error lógico". • http://drupal.org/node/318706 http://secunia.com/advisories/32198 http://www.openwall.com/lists/oss-security/2008/10/21/7 https://exchange.xforce.ibmcloud.com/vulnerabilities/45755 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0

The core BlogAPI module in Drupal 5.x before 5.11 and 6.x before 6.5 does not properly validate unspecified content fields of an internal Drupal form, which allows remote authenticated users to bypass intended access restrictions via modified field values. El núcleo del módulo BlogAPI de Drupal 5.x anterior a 5.11 y de 6.x anterior a 6.5 no validad correctamente campos de contenido sin especificar de un formulario interno de drupal, lo que permite a un usuario remoto autentificado evitar las restricciones de acceso por medio de valores de campos modificados. • http://drupal.org/node/318706 http://secunia.com/advisories/32201 http://www.openwall.com/lists/oss-security/2008/10/21/7 https://exchange.xforce.ibmcloud.com/vulnerabilities/45761 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0

The user module in Drupal 5.x before 5.11 and 6.x before 6.5 might allow remote authenticated users to bypass intended login access rules and successfully login via unknown vectors. El módulo de usuario en Drupal 5.x Anterior a 5.11 y de 6.x anterior a 6.5 puede permitir a un usuario remoto autentificado evitar las reglas de acceso y conseguir el login por medio de un ataque desconocido. • http://drupal.org/node/318706 http://secunia.com/advisories/32201 http://www.openwall.com/lists/oss-security/2008/10/21/7 https://exchange.xforce.ibmcloud.com/vulnerabilities/45766 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0

Drupal, probably 5.10 and 6.4, does not set the secure flag for the session cookie in an https session, which can cause the cookie to be sent in http requests and make it easier for remote attackers to capture this cookie. Drupal, probablemente v5.10 y v6.4, no establece el indicador seguro para la cookie de sesión en una sesión https, lo que puede provocar que sea enviada en una petición http y facilitar a los atacantes remotos el capturar la misma. • http://int21.de/cve/CVE-2008-3661-drupal.html http://www.securityfocus.com/archive/1/496575/100/0/threaded http://www.securityfocus.com/bid/31285 https://exchange.xforce.ibmcloud.com/vulnerabilities/45298 •

CVSS: 5.8EPSS: 0%CPEs: 14EXPL: 0

Multiple cross-site request forgery (CSRF) vulnerabilities in Drupal 5.x before 5.10 and 6.x before 6.4 allow remote attackers to hijack the authentication of administrators for requests that (1) add or (2) delete user access rules. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Drupal 5.x versiones anteriores a 5.10 y 6.x versiones anteriores a 6.4 permiten a atacantes remotos (1) añadir o (2) borrar reglas de acceso de usuarios como administradores a través de una URL sin especificar. • http://drupal.org/node/295053 http://secunia.com/advisories/31462 http://secunia.com/advisories/31825 http://www.securityfocus.com/bid/30689 http://www.vupen.com/english/advisories/2008/2392 https://bugzilla.redhat.com/show_bug.cgi?id=459108 https://exchange.xforce.ibmcloud.com/vulnerabilities/44448 https://www.redhat.com/archives/fedora-package-announce/2008-September/msg00259.html https://www.redhat.com/archives/fedora-package-announce/2008-September/msg00508.html • CWE-352: Cross-Site Request Forgery (CSRF) •