Page 14 of 86 results (0.016 seconds)

CVSS: 5.1EPSS: 5%CPEs: 78EXPL: 0

The form API in Drupal 6.x before 6.29 and 7.x before 7.24, when used with unspecified third-party modules, performs form validation even when CSRF validation has failed, which might allow remote attackers to trigger application-specific impacts such as arbitrary code execution via application-specific vectors. La API de formularios en Drupal 6.x anteriores a 6.29 y 7.x anteriores a 7.24, cuando es utilizada con módulos no especificados de terceros, ejecuta validación del formulario incluso cuando la validación CSRF ha fallado, lo cual podría permitir a atacantes remotos provocar impacto específico en la aplicación como ejecución de código arbitrario a través de vectores específicos de la aplicación. • http://secunia.com/advisories/56148 http://www.debian.org/security/2013/dsa-2804 http://www.debian.org/security/2013/dsa-2828 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 6.8EPSS: 0%CPEs: 78EXPL: 0

Drupal 6.x before 6.29 and 7.x before 7.24 uses the PHP mt_rand function to generate random numbers, which uses predictable seeds and allows remote attackers to predict security strings and bypass intended restrictions via a brute force attack. Drupal 6.x anteriores a 6.29 y 7.x anteriores a 7.24 utilizan la función de PHP mt_rand para generar números aleatorios, la cual usa semillas predecibles y permite a atacantes remotos predecir cadenas de seguridad y sortear restricciones intencionadas a través de ataques de fuerza bruta. • http://secunia.com/advisories/56148 http://www.debian.org/security/2013/dsa-2804 http://www.debian.org/security/2013/dsa-2828 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-310: Cryptographic Issues •

CVSS: 4.3EPSS: 0%CPEs: 40EXPL: 0

Cross-site scripting (XSS) vulnerability in the Color module in Drupal 7.x before 7.24 allows remote attackers to inject arbitrary web script or HTML via vectors related to CSS. Vulnerabilidad de cross-site scripting (XSS) en el módulo Color en Drupal 7.x anteriores a 7.24 permite a atacantes remotos inyectar scripts web o HTML arbitrarios a través de vectores relacionados con CSS. • http://www.debian.org/security/2013/dsa-2804 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.8EPSS: 0%CPEs: 40EXPL: 0

Open redirect vulnerability in the Overlay module in Drupal 7.x before 7.24 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via unspecified vectors. Vulnerabilidad de redirección abierta en el módulo Overlay de Drupal 7.x anterior a la versión 7.24 permite a atacantes remotos redirigir a usuarios hacia sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores no especificados. • http://www.debian.org/security/2013/dsa-2804 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-20: Improper Input Validation •

CVSS: 2.1EPSS: 0%CPEs: 40EXPL: 0

Cross-site scripting (XSS) vulnerability in the Image module in Drupal 7.x before 7.24 allows remote authenticated users with certain permissions to inject arbitrary web script or HTML via the description field. Vulnerabilidad de cross-site scripting (XSS) en el módulo Image en Drupal 7.x anteriores a 7.24 permite a usuarios autenticados remotamente con ciertos permisos inyectar scripts web o HTML arbitrarios a través del campo de descripción. • http://www.debian.org/security/2013/dsa-2804 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •