CVSS: 6.8EPSS: 0%CPEs: 16EXPL: 0CVE-2012-5547
https://notcve.org/view.php?id=CVE-2012-5547
Multiple cross-site request forgery (CSRF) vulnerabilities in the Search API module 7.x-1.x before 7.x-1.3 for Drupal allow remote attackers to hijack the authentication of administrators for requests that (1) enable a server via a server action or (2) enable a search index via an enable index action. Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en el módulo Search API v7.x-1.x antes de v7.x-1.3 para Drupal, permite a atacantes remotos secuestrar la autenticación de administradores en peticiones que (1) habilitan un servidor a través de una acción de servidor o (2) habilitan un índice de búsqueda a través de una acción de índice. • http://drupal.org/node/1815124 http://drupal.org/node/1815770 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0CVE-2012-5543
https://notcve.org/view.php?id=CVE-2012-5543
The Feeds module 7.x-2.x before 7.x-2.0-alpha6 for Drupal, when a field is mapped to the node's author, does not properly check permissions, which allows remote attackers to create arbitrary nodes via a crafted source feed. El módulo Feeds v7.x-2.x antes de v7.x-2.0-alpha6 para Drupal, cuando un campo está mapeado al nodo del autor, no comprueba adecuadamente los permisos, lo que permite a atacantes remotos crear nodos arbitrarios a través de un origen manipulado. • http://drupal.org/node/1808832 http://drupalcode.org/project/feeds.git/commitdiff/a538c20 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 12EXPL: 0CVE-2012-5539
https://notcve.org/view.php?id=CVE-2012-5539
The Organic Groups (OG) module 7.x-1.x before 7.x-1.5 for Drupal does not properly maintain pending group memberships, which allows remote authenticated users to post to arbitrary groups by modifying their own account while a pending membership is waiting to be approved. El módulo Organic Groups (OG) v7.x-1.x antes de v7.x-1.5 para Drupal no mantiene adecuadamente las membresías de grupo pendientes, lo que permite a usuarios autenticados remotamente postear en grupos de su elección modificando su propia cuente cuando hay una membresía pendiente de aprobación. • http://drupal.org/node/1795906 http://drupal.org/node/1796036 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0CVE-2012-5556
https://notcve.org/view.php?id=CVE-2012-5556
Multiple cross-site request forgery (CSRF) vulnerabilities in the RESTful Web Services (RESTWS) module 7.x-1.x before 7.x-1.1 and 7.x-2.x before 7.x-2.0-alpha3 for Drupal allow remote attackers to hijack the authentication of arbitrary users via unknown vectors. Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en el módulo ESTful Web Services (RESTWS) v7.x-1.x antes de v7.x-1.1 y v7.x-2.x antes de v7.x-2.0-alpha3 para Drupal, permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios a través de vectores desconocidos. • http://drupal.org/node/1840722 http://drupal.org/node/1840728 http://drupal.org/node/1840740 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 13EXPL: 0CVE-2012-5554
https://notcve.org/view.php?id=CVE-2012-5554
The default configuration for the Webform CiviCRM Integration module 7.x-3.x before 7.x-3.2 has "Enforce Permissions" disabled, which allows remote attackers to obtain contact information by reading webforms. La configuración por defecto para el módulo de Integración Webform CiviCRM v7.x-3.x antes de v7.x-3.2 tiene "Enforce Permissions" deshabilitado, lo que permite a atacantes remotos obtener información de contacto mediante la lectura de formularios web. • http://drupal.org/node/1768632 http://drupal.org/node/1774252 http://drupal.org/node/1834868 http://www.openwall.com/lists/oss-security/2012/11/20/4 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •