CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 0CVE-2014-8734
https://notcve.org/view.php?id=CVE-2014-8734
The Organic Groups Menu (aka OG Menu) module before 7.x-2.2 for Drupal allows remote authenticated users with the "access administration pages" permission to change module settings via unspecified vectors. El módulo Organic Groups Menu (también conocido como OG Menu) anterior a 7.x-2.2 para Drupal permite a usuarios remotos autenticados con el permiso 'acceder a las páginas de administración' cambiar las configuraciones de módulos a través de vectores no especificados. • https://exchange.xforce.ibmcloud.com/vulnerabilities/98445 https://www.drupal.org/node/2365259 https://www.drupal.org/node/2365685 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2013-7407
https://notcve.org/view.php?id=CVE-2013-7407
Cross-site request forgery (CSRF) vulnerability in the MRBS module for Drupal allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Vulnerabilidad de CSRF en el módulo MRBS para Drupal permite a atacantes remotos secuestrar la autenticación de victimas no especificadas a través de vectores desconocidos. • https://www.drupal.org/node/2044173 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 9EXPL: 0CVE-2014-8296
https://notcve.org/view.php?id=CVE-2014-8296
Cross-site scripting (XSS) vulnerability in the Modal Frame API module 6.x-1.x before 6.x-1.9 for Drupal allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de XSS en el módulo Modal Frame API 6.x-1.x anterior a 6.x-1.x anterior a 6.x-1.9 para Drupal permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores sin especificar. • http://osvdb.org/102909 https://exchange.xforce.ibmcloud.com/vulnerabilities/90972 https://www.drupal.org/node/2189751 https://www.drupal.org/node/2191765 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 97%CPEs: 2EXPL: 17CVE-2014-3704 – Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Add Admin User)
https://notcve.org/view.php?id=CVE-2014-3704
The expandArguments function in the database abstraction API in Drupal core 7.x before 7.32 does not properly construct prepared statements, which allows remote attackers to conduct SQL injection attacks via an array containing crafted keys. La función expandArguments en la API de la base de datos de abstracción para Drupal core 7.x anterior a 7.32 no construye correctamente las declaraciones, lo que permite a atacantes remotos inducir a ataques de inyección SQL a través de un array que contiene claves manipuladas. Drupal versions 7.0 through 7.31 suffer from a remote SQL injection vulnerability. • https://www.exploit-db.com/exploits/34992 https://www.exploit-db.com/exploits/34993 https://www.exploit-db.com/exploits/44355 https://www.exploit-db.com/exploits/35150 https://www.exploit-db.com/exploits/34984 https://github.com/happynote3966/CVE-2014-3704 http://osvdb.org/show/osvdb/113371 http://packetstormsecurity.com/files/128720/Drupal-7.X-SQL-Injection.html http://packetstormsecurity.com/files/128721/Drupal-7.31-SQL-Injection.html http://packetstormsecurity.com/files/128 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 28EXPL: 0CVE-2014-8765
https://notcve.org/view.php?id=CVE-2014-8765
Multiple cross-site scripting (XSS) vulnerabilities in the Project Issue File Review module (PIFR) module 6.x-2.x before 6.x-2.17 for Drupal allow (1) remote attackers to inject arbitrary web script or HTML via a crafted patch, which triggers a PIFR client to test the patch and return the results to the PIFR_Server test results page or (2) remote authenticated users with the "manage PIFR environments" permission to inject arbitrary web script or HTML via vectors involving a PIFR_Server administrative page. Múltiples vulnerabilidadaes de XSS en el módulo Project Issue File Review (PIFR) 6.x-2.x anterior a 6.x-2.17 para Drupal permiten a (1) atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un parche manipulado, lo que provoca un cliente PIFR para probar el parche y devolver los resultados a la página de los resultados de las pruebas PIFR_Server o (2) usuarios remotos autenticados con el permiso 'manejar entornos PIFR' inyectar secuencias de comandos web o HTML arbitrarios a través de vectores que involucran una página administrativa PIFR_Server. • http://secunia.com/advisories/57030 http://www.securityfocus.com/bid/65830 https://www.drupal.org/node/2205755 https://www.drupal.org/node/2205767 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •