Page 19 of 402 results (0.030 seconds)

CVSS: 2.1EPSS: 0%CPEs: 13EXPL: 0

Cross-site scripting (XSS) vulnerability in the FileField Sources module 6.x-1.x before 6.x-1.6 and 7.x-1.x before 7.x-1.6 for Drupal, when the field has "Reference existing" source enabled, allows remote authenticated users to inject arbitrary web script or HTML via the filename of an uploaded file. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo FileField v6.x-1.x antes de v6.x-1.6 y v7.x-1.x antes de v7.x-1.6 para Drupal, cuando el campo tiene fuente "Referencia existente" activado, permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML a través del nombre de archivo de un archivo cargado. • http://drupal.org/node/1789300 http://drupal.org/node/1789302 http://drupal.org/node/1789306 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0

SQL injection vulnerability in the Time Spent module 6.x and 7.x for Drupal allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el módulo Time Spent v6.x y v7.x para Drupal permite a atacantes remotos ejecutar comandos SQL de su elección a través de vectores no especificados. • http://drupal.org/node/1822066 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in the Basic webmail module 6.x-1.x before 6.x-1.2 for Drupal allow remote attackers to inject arbitrary web script or HTML via a (1) page title or (2) crafted email message. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Basic webmail v6.x-1.x antes de v6.x-1.2 para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través (1) el título de la página o (2) un mensaje de email manipulado. • http://drupal.org/node/1808852 http://www.openwall.com/lists/oss-security/2012/11/20/4 http://www.openwall.com/lists/oss-security/2012/11/27/2 https://drupal.org/node/1808616 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.0EPSS: 0%CPEs: 9EXPL: 0

The Simplenews Scheduler module 6.x-2.x before 6.x-2.4 for Drupal allows remote authenticated users with the "send scheduled newsletters" permission to inject arbitrary PHP code into the scheduling form, which is later executed by cron. El módulo Simplenews Scheduler v6.x-2.x antes de v6.x-2.4 para Drupal permite a usuarios remotos autenticados con el permiso "envío de boletines programados", inyectar código PHP arbitrario en el formulario de programación, que es posteriormente ejecutado por cron. • http://drupal.org/node/1789274 http://drupal.org/node/1789284 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in the Hostip module 6.x-2.x before 6.x-2.2 and 7.x-2.x before 7.x-2.2 for Drupal allow remote attackers with control of hostip.info to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo de HostIP v6.x-2.x antes de v6.x-2.2 y v7.x-2.x antes de v7.x-2.2 para Drupal, permite a atacantes remotos con control de hostip.info inyectar secuencias de comandos web o HTML a través vectores no especificados. • http://drupal.org/node/1802046 http://drupal.org/node/1802048 http://drupal.org/node/1802218 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •