CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1729
https://notcve.org/view.php?id=CVE-2008-1729
The menu system in Drupal 6 before 6.2 has incorrect menu settings, which allows remote attackers to (1) edit the profile pages of arbitrary users, and obtain sensitive information from (2) tracker and (3) blog pages, related to a missing check for the "access content" permission; and (4) allows remote authenticated users, with administration page view access, to edit content types. El menú de sistema en Drupal 6 anterior a 6.2 tiene configuraciones de menu incorrectas, que permiten a atacantes remotos (1) editar las páginas de perfil de usuarios a su elección, y obtener información sensible del (2) rastreador y (3) páginas de blog, relacionados con falta de comprobaciones de los permisos de "acceso a contenidos"; y (4) permite autenticación de usuarios remotos, con acceso a página de administración, para editar tipos de contenidos. • http://drupal.org/node/244637 http://secunia.com/advisories/29762 http://www.osvdb.org/44270 http://www.securityfocus.com/bid/28714 http://www.vupen.com/english/advisories/2008/1185/references https://exchange.xforce.ibmcloud.com/vulnerabilities/41755 •
CVSS: 7.5EPSS: 2%CPEs: 7EXPL: 0CVE-2008-1731
https://notcve.org/view.php?id=CVE-2008-1731
The Simple Access module for Drupal 5.x through 5.x-1.2-2 does not properly handle the privacy information for nodes, which might allow remote attackers to bypass intended access restrictions, and read or modify nodes, in opportunistic circumstances related to interaction between Simple Access and (1) Node clone or (2) Project issue tracking. El módulo de Acceso Simple para Drupal 5.x a 5.x-1.2-2 no manipula adecuadamente la información privada para nodos, que podría permitir a atacantes remotos evitar las restricciones de acceso planeadas, y leer o modificar nodos, en circunstancias oportunas relacionadas con la interacción entre Acceso Simple y (1) Node clone o (2) asuntos de seguimiento de Proyecto. • http://drupal.org/node/244560 http://secunia.com/advisories/29772 http://www.osvdb.org/44271 http://www.securityfocus.com/bid/28720 http://www.vupen.com/english/advisories/2008/1184 https://exchange.xforce.ibmcloud.com/vulnerabilities/41756 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1133
https://notcve.org/view.php?id=CVE-2008-1133
The Drupal.checkPlain function in Drupal 6.0 only escapes the first instance of a character in ECMAScript, which allows remote attackers to conduct cross-site scripting (XSS) attacks. La función Drupal.checkPlain en Drupal 6.0 escapa únicamente a la primera instancia del carácter en ECMAScript, lo que permite a atacantes remotos dirigir ataques de secuencias de comandos en sitios cruzados (XSS). • http://drupal.org/node/227608 http://secunia.com/advisories/29118 http://www.securityfocus.com/bid/28026 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1131
https://notcve.org/view.php?id=CVE-2008-1131
Cross-site scripting (XSS) vulnerability in Drupal 6.0 allows remote authenticated users to inject arbitrary web script or HTML via titles in content edit forms. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Drupal 6.0 permite a usuarios remotos autenticados inyectar web script o HTML de su elección a través de los títulos contenidos en los formularios editados. • http://drupal.org/node/227608 http://secunia.com/advisories/29118 http://www.securityfocus.com/bid/28026 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2008-0462
https://notcve.org/view.php?id=CVE-2008-0462
Cross-site scripting (XSS) vulnerability in the Archive 5.x before 5.x-1.8 module for Drupal allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Archive 5.x, (versiones posteriores a la 5.x-1.8) para Drupal, permite que atacantes remotos inyecten, a su elección, código web o HTML a través de vectores no especificados. • http://drupal.org/node/213478 http://secunia.com/advisories/28632 http://www.securityfocus.com/bid/27436 http://www.vupen.com/english/advisories/2008/0278 https://exchange.xforce.ibmcloud.com/vulnerabilities/39898 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •