CVE-2012-2301
https://notcve.org/view.php?id=CVE-2012-2301
The Ubercart module 6.x-2.x before 6.x-2.8 for Drupal allows remote authenticated users with the "administer product classes" permission to execute arbitrary PHP code via unspecified vectors. El módulo Ubercat 6.x-2.x anterior a 6.x-2.8 para Drupal permite a usuarios remotos autenticados con permisos de administración de clases de productos ejecutar código PHP arbitrario a través de vectores no especificados. • http://drupal.org/node/1547506 http://drupal.org/node/1547508 http://drupal.org/node/1547674 http://secunia.com/advisories/48935 http://www.openwall.com/lists/oss-security/2012/05/03/1 http://www.openwall.com/lists/oss-security/2012/05/03/2 http://www.securityfocus.com/bid/53251 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2013-7302
https://notcve.org/view.php?id=CVE-2013-7302
Session fixation vulnerability in the Ubercart module 6.x-2.x before 6.x-2.13 and 7.x-3.x before 7.x-3.6 for Drupal, when the "Log in new customers after checkout" option is enabled, allows remote attackers to hijack web sessions by leveraging knowledge of the original session ID. Vulnerabilidad de fijación de sesión en el módulo Ubercart 6.x-2.x anterior a 6.x-2.13 y 7.x-3.x anterior a 7.x-3.6 para Drupal, cuando la opción "Registrar clientes nuevos después de comprobación" está habilitada, permite a atacantes remotos secuestrar sesiones web mediante el aprovechamiento de conocimiento del identificador de sesión original. • https://drupal.org/node/2158565 https://drupal.org/node/2158567 https://drupal.org/node/2158651 • CWE-287: Improper Authentication •
CVE-2013-0322
https://notcve.org/view.php?id=CVE-2013-0322
Cross-site scripting (XSS) vulnerability in Views in the Ubercart module 7.x-3.x before 7.x-3.4 for Drupal allows remote attackers to inject arbitrary web script or HTML via the full name field. Ejecución de secuencias de comandos en sitios cruzados(XSS) en Views en el módulo Ubercart v7.x-3.x antes v7.x-3.4 para Drupal que permite a atacantes remotos inyectar web script o HTML a través del campo Nombre completo. • http://drupal.org/node/1922136 http://drupal.org/node/1922418 http://drupalcode.org/project/ubercart.git/commitdiff/f9d69b5 http://secunia.com/advisories/52298 http://www.openwall.com/lists/oss-security/2013/02/21/5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-5802
https://notcve.org/view.php?id=CVE-2012-5802
The PayPal module in Ubercart does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate. El módulo PayPal en UberCart no comprueba si el nombre del servidor coincide con un nombre de dominio en el Common Name (CN) del asunto o el campo subjectAltName del certificado X.509, lo que permite a atacantes man-in-the-middle falsificar servidores SSL a través de un certificado válido de su elección. • http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf https://exchange.xforce.ibmcloud.com/vulnerabilities/79949 • CWE-20: Improper Input Validation •
CVE-2012-5804
https://notcve.org/view.php?id=CVE-2012-5804
The CyberSource module in Ubercart does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate. El módulo CyberSource en Zen Cart no comprueba si el nombre del servidor coincide con un nombre de dominio en el Common Name (CN) del asunto o el campo subjectAltName del certificado X.509, lo que permite a atacantes man-in-the-middle falsificar servidores SSL a través de un certificado válido de su elección. • http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf https://exchange.xforce.ibmcloud.com/vulnerabilities/79947 • CWE-20: Improper Input Validation •