CVE-2009-2076
https://notcve.org/view.php?id=CVE-2009-2076
Cross-site scripting (XSS) vulnerability in Views 6.x before 6.x-2.6, a module for Drupal, allows remote authenticated users to inject arbitrary web script or HTML via (1) exposed filters in the Views UI administrative interface and in the (2) view name parameter in the define custom views feature. NOTE: vector 2 is only exploitable by users with administer views permissions. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Views v6.x anteriores a v6.x-2.6, un modulo de Drupal, permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrariamente a través de (1) filtros que se muestran en la interfaz administrativa de usuario Views y el (2) parámetro "view name" en la característica de personalizar vistas. NOTA: vector 2 es únicamente explotable por usuarios con permisos administrativos de vistas. • http://drupal.org/node/488068 http://drupal.org/node/488082 http://lampsecurity.org/drupal-views-xss-vulnerability http://secunia.com/advisories/35425 http://www.securityfocus.com/bid/35304 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-6020
https://notcve.org/view.php?id=CVE-2008-6020
SQL injection vulnerability in the Views module 6.x before 6.x-2.2 for Drupal allows remote attackers to execute arbitrary SQL commands via unspecified vectors related to "an exposed filter on CCK text fields." Vulnerabilidad de inyección SQL en el módulo Views del gestor de contenidos Drupal en las versiones v6.x anteriores a la v6.x-2.2. Permite a los usuarios remotos ejecutar código arbitrario SQL a través de vectores de ataque desconocidos relacionados con un filtro vulnerable en los campos de texto CCK. • http://drupal.org/node/347831 http://drupal.org/node/348321 http://osvdb.org/50795 http://secunia.com/advisories/33225 http://secunia.com/advisories/33289 http://www.securityfocus.com/bid/32895 https://exchange.xforce.ibmcloud.com/vulnerabilities/47454 https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01024.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •