Page 15 of 129 results (0.017 seconds)

CVSS: 4.0EPSS: 0%CPEs: 33EXPL: 0

The Taxonomy module in Drupal 7.x before 7.26, when upgraded from an earlier version of Drupal, does not properly restrict access to unpublished content, which allows remote authenticated users to obtain sensitive information via a listing page. El módulo Taxonomy en Drupal 7.x anteriores a 7.26, cuando es actualizado desde una versión anterior de Drupal, no restringe correctamente el acceso a contenido no publicado, lo cual permite a usuarios no autenticados obtener información sensible a través de una página de listado. • http://secunia.com/advisories/56260 http://www.debian.org/security/2014/dsa-2847 http://www.mandriva.com/security/advisories?name=MDVSA-2014:031 http://www.securityfocus.com/bid/64973 https://drupal.org/SA-CORE-2014-001 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 5.1EPSS: 5%CPEs: 78EXPL: 0

The form API in Drupal 6.x before 6.29 and 7.x before 7.24, when used with unspecified third-party modules, performs form validation even when CSRF validation has failed, which might allow remote attackers to trigger application-specific impacts such as arbitrary code execution via application-specific vectors. La API de formularios en Drupal 6.x anteriores a 6.29 y 7.x anteriores a 7.24, cuando es utilizada con módulos no especificados de terceros, ejecuta validación del formulario incluso cuando la validación CSRF ha fallado, lo cual podría permitir a atacantes remotos provocar impacto específico en la aplicación como ejecución de código arbitrario a través de vectores específicos de la aplicación. • http://secunia.com/advisories/56148 http://www.debian.org/security/2013/dsa-2804 http://www.debian.org/security/2013/dsa-2828 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 6.8EPSS: 0%CPEs: 78EXPL: 0

Drupal 6.x before 6.29 and 7.x before 7.24 uses the PHP mt_rand function to generate random numbers, which uses predictable seeds and allows remote attackers to predict security strings and bypass intended restrictions via a brute force attack. Drupal 6.x anteriores a 6.29 y 7.x anteriores a 7.24 utilizan la función de PHP mt_rand para generar números aleatorios, la cual usa semillas predecibles y permite a atacantes remotos predecir cadenas de seguridad y sortear restricciones intencionadas a través de ataques de fuerza bruta. • http://secunia.com/advisories/56148 http://www.debian.org/security/2013/dsa-2804 http://www.debian.org/security/2013/dsa-2828 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-310: Cryptographic Issues •

CVSS: 4.3EPSS: 0%CPEs: 40EXPL: 0

Cross-site scripting (XSS) vulnerability in the Color module in Drupal 7.x before 7.24 allows remote attackers to inject arbitrary web script or HTML via vectors related to CSS. Vulnerabilidad de cross-site scripting (XSS) en el módulo Color en Drupal 7.x anteriores a 7.24 permite a atacantes remotos inyectar scripts web o HTML arbitrarios a través de vectores relacionados con CSS. • http://www.debian.org/security/2013/dsa-2804 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.8EPSS: 0%CPEs: 40EXPL: 0

Open redirect vulnerability in the Overlay module in Drupal 7.x before 7.24 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via unspecified vectors. Vulnerabilidad de redirección abierta en el módulo Overlay de Drupal 7.x anterior a la versión 7.24 permite a atacantes remotos redirigir a usuarios hacia sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores no especificados. • http://www.debian.org/security/2013/dsa-2804 http://www.openwall.com/lists/oss-security/2013/11/22/4 https://drupal.org/SA-CORE-2013-003 • CWE-20: Improper Input Validation •