CVE-2012-1626
https://notcve.org/view.php?id=CVE-2012-1626
SQL injection vulnerability in the conversion form for Events in the Date module 6.x-2.x before 6.x-2.8 for Drupal allows remote authenticated users with the "administer Date Tools" privilege to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en formulario de conversión para Eventos en el módulo Fecha v6.x-2.x antes de v6.x-2.8 para Drupal permite ejecutar comandos SQL a usuarios remotos autenticados con el privilegio "administrar Fecha de Herramientas" a través de vectores no especificados. • http://drupal.org/node/1401026 http://drupal.org/node/1401434 http://osvdb.org/78261 http://secunia.com/advisories/47533 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51378 https://exchange.xforce.ibmcloud.com/vulnerabilities/72356 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2012-1625
https://notcve.org/view.php?id=CVE-2012-1625
Eval injection vulnerability in the fillpdf_form_export_decode function in fillpdf.admin.inc in the Fill PDF module 6.x-1.x before 6.x-1.16 and 7.x-1.x before 7.x-1.2 for Drupal allows remote authenticated users with administer PDFs privileges to execute arbitrary PHP code via unspecified vectors. NOTE: Some of these details are obtained from third party information. Vulnerabilidad de inyección mediante eval en la función fillpdf_form_export_decode en fillpdf.admin.inc en el módulo Fill PDF v6.x-1.x anteriores a v6.x-1.16 y v7.x-1.x anteriores a v7.x-1.2 para Drupal, permite a usuarios remotos autenticados con provilegios administrativos sobre PDFs a ejecutar comandos PHP a través de vectores no especificados. NOTA: alguna de esta información se ha obtenido de terceros. • http://drupal.org/node/1394428 http://osvdb.org/78182 http://secunia.com/advisories/47418 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51288 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2012-1627
https://notcve.org/view.php?id=CVE-2012-1627
Cross-site scripting (XSS) vulnerability in vud_term.module in the Vote Up/Down module 6.x-2.x before 6.x-2.8 and 6.x-3.x before 6.x-3.1 for Drupal allows remote authenticated users to inject arbitrary web script or HTML via taxonomy terms. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en vud_term en el módulo Vote Up/Down v6.x-2.x anterior a v6.x-2.8 y v6.x-3.x anterior a v6.x-3.1 para Drupal, permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML de su elección a través de términos en las taxonomías. • http://drupal.org/node/1400528 http://drupal.org/node/1400530 http://drupal.org/node/1401580 http://drupalcode.org/project/vote_up_down.git/commit/fe83aa4b8fa44d83a01494870a80d4651434f4c0 http://secunia.com/advisories/47549 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51376 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-1632
https://notcve.org/view.php?id=CVE-2012-1632
Cross-site scripting (XSS) vulnerability in password_policy.admin.inc in the Password Policy module before 6.x-1.4 and 7.x-1.0 beta3 for Drupal allows remote authenticated users with administer policies permissions to inject arbitrary web script or HTML via the name parameter. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en password_policy.admin.inc en el módulo Password Policy anteriores a v6.x-1.4 y v7.x-1.0 beta3 para Drupal, permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML a través del parámetro name. • http://drupal.org/node/1401678 http://drupalcode.org/project/password_policy.git/commit/3c688c3b4a3ed96fdc4b89883595633338c7ebb6 http://secunia.com/advisories/47541 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51385 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-1633
https://notcve.org/view.php?id=CVE-2012-1633
Cross-site request forgery (CSRF) vulnerability in the Password Policy module before 6.x-1.4 and 7.x-1.0 beta3 for Drupal allows remote attackers to hijack the authentication of administrative users for requests that unblock a user. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en el módulo Password Policy anterior a versiones 6.x hasta 1.4 y 7.x hasta 1.0 beta3 para Drupal, permite a los atacantes remotos secuestrar la autenticación de usuarios administrativos para peticiones que desbloqueen a un usuario. • http://drupal.org/node/1401678 http://drupalcode.org/project/password_policy.git/commit/3c688c3b4a3ed96fdc4b89883595633338c7ebb6 http://secunia.com/advisories/47541 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51385 • CWE-352: Cross-Site Request Forgery (CSRF) •