Page 22 of 151 results (0.026 seconds)

CVSS: 3.5EPSS: 0%CPEs: 14EXPL: 0

Cross-site scripting (XSS) vulnerability in the Calendar module 6.x before 6.x-2.2 for Drupal allows remote authenticated users, with "create new content types" privileges, to inject arbitrary web script or HTML via the title of a content type. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo "Calendar" (calendario) en versiones v6.x anteriores a la v6.x-2.2 para Drupal permite a atacantes remotos autenticados, con privilegios "create new content types" (crear nuevos tipos de contenido), inyectar codigo de script web o código HTML a través de el título de un tipo de contenido. • http://drupal.org/node/534336 http://drupal.org/node/534652 http://lampsecurity.org/drupal-date-xss-vulnerability http://secunia.com/advisories/36012 http://www.osvdb.org/56611 http://www.securityfocus.com/bid/35790 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0

Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not sign all required data in requests, which has unspecified impact, probably related to man-in-the-middle attacks that modify critical data and allow remote attackers to impersonate other users and gain privileges. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no firma todos los datos necesarios en las peticiones, cuyo impacto se desconoce, probablemente relacionado con ataques de hombre-en-el-medio (man-in-the-middle)que modifican datos críticos y permiten a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 https://exchange.xforce.ibmcloud.com/vulnerabilities/52438 • CWE-310: Cryptographic Issues •

CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0

Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not use timeouts for signed requests, which allows remote attackers to impersonate other users and gain privileges via a replay attack that sends the same request. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no emplea tiempos de espera para las peticiones firmadas, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios a través de un ataque de reproducción que envía la misma petición. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/52441 • CWE-310: Cryptographic Issues •

CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0

Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, uses an insecure hash when signing requests, which allows remote attackers to impersonate other users and gain privileges. Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13, un módulo de Drupal, utiliza un hash inseguro al firmar las solicitudes, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 • CWE-310: Cryptographic Issues •

CVSS: 3.5EPSS: 0%CPEs: 27EXPL: 0

Cross-site scripting (XSS) vulnerability in the Links Related module in the Links Package 5.x before 5.x-1.13 and 6.x before 6.x-1.2, a module for Drupal, allows remote authenticated users to inject arbitrary web script or HTML via the title field. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Links Related en Links Package v5.x anteriores a v5.x-1.13 y v6.x anteioriores a v6.x-1.2, un módulo para Drupal, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML de su elección mediante el campo "title". • http://drupal.org/node/501356 http://drupal.org/node/501360 http://drupal.org/node/502112 http://osvdb.org/55326 http://secunia.com/advisories/35557 http://www.securityfocus.com/bid/35491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •