CVE-2012-1589
https://notcve.org/view.php?id=CVE-2012-1589
Open redirect vulnerability in the Form API in Drupal 7.x before 7.13 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via crafted parameters in a destination URL. Vulnerabilidad de redirección abierta en Form API en Drupal v7.x antes de v7.13 permite a atacantes remotos redirigir a los usuarios a sitios web de su elección y llevar a cabo ataques de phishing a través de parámetros modificados en una dirección URL de destino. • http://drupal.org/node/1557938 http://jvn.jp/en/jp/JVN45898075/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2012-000045 http://osvdb.org/81679 http://secunia.com/advisories/49012 http://www.mandriva.com/security/advisories?name=MDVSA-2013:074 http://www.securityfocus.com/bid/53365 • CWE-20: Improper Input Validation •
CVE-2012-1591
https://notcve.org/view.php?id=CVE-2012-1591
The image module in Drupal 7.x before 7.14 does not properly check permissions when caching derivative image styles of private images, which allows remote attackers to read private image styles. El módulo image en Drupal v7.x antes de v7.14, no comprueba correctamente los permisos cuando se almacenan en caché los estilos de imágenes derivados de imágenes privadas, lo que permite a atacantes remotos leer estilos particulares de imagen. • http://drupal.org/drupal-7.14 http://drupal.org/node/1507988 http://drupal.org/node/1557938 http://drupalcode.org/project/drupal.git/commit/3bf6761ff7537dc68e22ea73f155134f3cfd41a8 http://secunia.com/advisories/49012 http://www.mandriva.com/security/advisories?name=MDVSA-2013:074 http://www.securityfocus.com/bid/53359 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2012-1590
https://notcve.org/view.php?id=CVE-2012-1590
The forum list in Drupal 7.x before 7.14 does not properly check user permissions for unpublished forum posts, which allows remote authenticated users to obtain sensitive information such as the post title via the forum overview page. La lista del foro en Drupal v7.x anterior a v7.14 no comprueba correctamente los permisos de usuario para los mensajes publicados en el foro, lo que permite a usuarios remotos autenticados obtener información confidencial, como el título de la entrada a través de la página de resumen del foro. • http://drupal.org/drupal-7.14 http://drupal.org/node/1302404 http://drupal.org/node/1557938 http://drupalcode.org/project/drupal.git/commit/352645e4a636cadeb5576231b3547972eebdd8e5 http://secunia.com/advisories/49012 http://www.mandriva.com/security/advisories?name=MDVSA-2013:074 http://www.securityfocus.com/bid/53359 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2007-6752 – Drupal 7.12 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2007-6752
Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off. ** DISCUTIDO ** Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Drupal 7.12 y anteriores permite a atacantes remotos secuestrar la autenticación de los usuarios arbitrarios para solicitudes que terminan una sesión a través de la URI usuario / cierre de sesión. NOTA: el vendedor se opone a la importancia de esta cuestión, teniendo en cuenta el "beneficio de la seguridad frente a la complejidad y la plataforma de impacto en el rendimiento" y la conclusión de que un cambio en el comportamiento de cierre de sesión no está previsto porque "la mayoría de los sitios no vale la pena la compensación." • https://www.exploit-db.com/exploits/18564 http://drupal.org/node/144538 http://groups.drupal.org/node/216314 http://ivanobinetti.blogspot.it/2012/03/drupal-cms-712-latest-stable-release.html http://packetstormsecurity.org/files/110404/drupal712-xsrf.txt http://www.exploit-db.com/exploits/18564 • CWE-352: Cross-Site Request Forgery (CSRF) •