CVE-2008-6533
https://notcve.org/view.php?id=CVE-2008-6533
Drupal 5.x before 5.13 and 6.x before 6.7 does not delete all related content when an input format is deleted, which prevents the content from being properly filtered and allows remote attackers to conduct cross-site scripting (XSS) attacks via unspecified vectors. Drupal v5.x anterior a v5.13 y v6.x anterior a v6.7 no borra el contenido relacionado cuando un formato de entrada es eliminado, lo que evita que se filtre adecuadamente y permita a atacantes remotos llevar a cabo ataques de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores no especificados. • http://drupal.org/node/345441 http://secunia.com/advisories/33112 http://secunia.com/advisories/33147 http://www.osvdb.org/50662 http://www.vupen.com/english/advisories/2008/3414 https://exchange.xforce.ibmcloud.com/vulnerabilities/47259 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00740.html https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00767.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-6532
https://notcve.org/view.php?id=CVE-2008-6532
Multiple cross-site request forgery (CSRF) vulnerabilities in the update feature in Drupal 5.x before 5.13 and 6.x before 6.7 allow remote attackers to perform unauthorized actions as the superuser via unspecified vectors, as demonstrated by causing the superuser to "execute old updates" that modify the database. Vulnerabilidad múltiple de falsificación de petición en sitios cruzados - CSRF - en la característica de actualización en Drupal v5.x anteriores a v5.13 y v6.x anteriores a v6.7, permiten a los atacantes remotos desarrollar acciones no autorizadas como el superusuarío a través de vectores no especificados, como se ha demostrado por provocación del superusuario la "ejecución de antiguas actualizaciones" que modifican la base de datos. • http://drupal.org/node/345441 http://secunia.com/advisories/33112 http://secunia.com/advisories/33147 http://www.osvdb.org/50661 http://www.vupen.com/english/advisories/2008/3414 https://exchange.xforce.ibmcloud.com/vulnerabilities/47260 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00740.html https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00767.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2009-1069
https://notcve.org/view.php?id=CVE-2009-1069
Multiple cross-site scripting (XSS) vulnerabilities in the node edit form feature in Drupal Content Construction Kit (CCK) 6.x before 6.x-2.2, a module for Drupal, allow remote attackers to inject arbitrary web script or HTML via the (1) titles of candidate referenced nodes in the Node reference sub-module and the (2) names of candidate referenced users in the User reference sub-module. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el formulario "node edit" del módulo Content Construction Kit (CCK) v6.x anterior a v6.x-2.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del (1)títulos de nodos candidatos referenciados en el sub-módulo "Node Reference" y (2) nombres de usuarios candidatos referenciados en el sub-módulo "User references". • http://drupal.org/node/406520 http://osvdb.org/52783 http://osvdb.org/52784 http://secunia.com/advisories/34370 http://www.securityfocus.com/bid/34172 https://exchange.xforce.ibmcloud.com/vulnerabilities/49317 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-1047
https://notcve.org/view.php?id=CVE-2009-1047
Cross-site scripting (XSS) vulnerability in the Send by e-mail module in the "Printer, e-mail and PDF versions" module 5.x before 5.x-4.4 and 6.x before 6.x-1.4, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via vectors involving outbound HTML e-mail. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo "Enviar-por-email" en el modulo de Drupal "versiones de PDF, e-mail e impresora" en las versiones 5.x antes de 5.x-4.4 y 6.x antes de 6.x-1.4, permite a atacantes remotos inyectar HTML o scripts web arbitrarios a través de vectores relacionados con la salida de correo electrónico en formato HTML. • http://drupal.org/node/406516 http://osvdb.org/52852 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-1037
https://notcve.org/view.php?id=CVE-2009-1037
Unspecified vulnerability in the Send by e-mail module in the "Printer, e-mail and PDF versions" module 5.x before 5.x-4.4 and 6.x before 6.x-1.4, a module for Drupal, allows remote attackers to send unlimited spam messages via unknown vectors related to the flood control API. Vulnerabilidad sin especificar en el módulo Send by e-mail en los módulos "Printer, e-mail y PDF versiones" v5.x anterior a v5.x-4.4 y v6.x anterior a v6.x-1.4, un módulo para Drupal, permite a atacantes remotos enviar mensajes de correo másivo ilimitados a través de vectores desconocidos relacionados con la API de control de inundación. • http://drupal.org/node/406516 http://osvdb.org/52785 http://secunia.com/advisories/34374 http://www.securityfocus.com/bid/34173 •