CVSS: 6.8EPSS: 0%CPEs: 2EXPL: 0CVE-2011-0771
https://notcve.org/view.php?id=CVE-2011-0771
The Janrain Engage (formerly RPX) module 6.x-1.3 for Drupal does not validate the file for a profile image, which allows remote authenticated users to conduct cross-site scripting (XSS) attacks and possibly execute arbitrary PHP code by causing a crafted avatar to be downloaded from an external login provider site. El módulo Janrain Engage (anteriormente RPX) versiones 6.x hasta 1.3 para Drupal, no comprueba el archivo para una imagen de perfil, lo que permite a los usuarios identificados remotos conducir ataques de tipo cross-site scripting (XSS) y posiblemente ejecutar código PHP arbitrario para causar que un avatar especialmente diseñado se descargue desde un sitio de proveedor de inicio de sesión externo. • http://drupal.org/node/1033154 http://osvdb.org/70623 http://secunia.com/advisories/42980 http://www.securityfocus.com/bid/45926 https://exchange.xforce.ibmcloud.com/vulnerabilities/64847 https://exchange.xforce.ibmcloud.com/vulnerabilities/64848 • CWE-20: Improper Input Validation •