CVSS: 3.5EPSS: 0%CPEs: 15EXPL: 0CVE-2012-1639
https://notcve.org/view.php?id=CVE-2012-1639
Multiple cross-site scripting (XSS) vulnerabilities in product/commerce_product.module in the Drupal Commerce module for Drupal before 7.x-1.2 allow remote authenticated users to inject arbitrary web script or HTML via the (1) sku or (2) title parameters. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el módulo enproduct/commerce_product.module en el módulo Drupal Commerce para Drupal anteriores a v7.x-1.2, permite a atacantes remotos secuestrar la autenticación de los usuarios para inyectar comandos web o html a través de los parámetros (1) sku o (2) title. • http://drupal.org/node/1416824 http://drupalcode.org/project/commerce.git/blobdiff/45bc53875f1675750afe60e709a34c95e3008366..b74cdcd:/modules/product/commerce_product.module http://osvdb.org/78528 http://secunia.com/advisories/47730 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51668 https://exchange.xforce.ibmcloud.com/vulnerabilities/72743 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 30EXPL: 0CVE-2012-2153
https://notcve.org/view.php?id=CVE-2012-2153
Drupal 7.x before 7.14 does not properly restrict access to nodes in a list when using a "contributed node access module," which allows remote authenticated users with the "Access the content overview page" permission to read all published nodes by accessing the admin/content page. Drupal 7.x anterior a 7.14 no restringe el acceso de forma adecuada a nodos en un listado cuando es usado "contributed node access module", lo que permite a usuarios autenticados de forma remota con "Acceso al contenido de la página" con permiso de lectura de nodos publicados accediendo a la página admin/content. • http://drupal.org/drupal-7.14 http://drupal.org/node/1557938 http://drupal.org/node/1558478 http://drupalcode.org/project/drupal.git/commit/c6d2b8311b82fe78d18732f01a68ceca3dea50af http://secunia.com/advisories/49012 http://www.mandriva.com/security/advisories?name=MDVSA-2013:074 http://www.securityfocus.com/bid/53362 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 2.1EPSS: 0%CPEs: 9EXPL: 0CVE-2011-5189
https://notcve.org/view.php?id=CVE-2011-5189
Cross-site scripting (XSS) vulnerability in the Webform Validation module 6.x-1.x before 6.x-1.5 and 7.x-1.x before 7.x-1.1 for Drupal allows remote authenticated users with permissions to "update Webform nodes" to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Webform Validation v6.x-1.x anterior a v6.x-1.5 y v7.x-1.x anterior a v7.x-1.1 para Drupal, permite a usuarios remotos autenticados con permisos para "actualizar nodos Webform" inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados. • http://drupal.org/node/1357354 http://drupal.org/node/1357356 http://drupal.org/node/1357360 http://secunia.com/advisories/47035 http://www.osvdb.org/77426 https://exchange.xforce.ibmcloud.com/vulnerabilities/71597 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 7EXPL: 0CVE-2012-5007
https://notcve.org/view.php?id=CVE-2012-5007
The Fill PDF module 7.x-1.x before 7.x-1.2 for Drupal allows remote attackers to write to arbitrary PDF files via unspecified vectors related to the fillpdf_merge_pdf function and incorrect arguments, a different vulnerability than CVE-2012-1625. NOTE: some of these details are obtained from third party information. El módulo Fill PDF v7.x-1.x antes de v7.x-1.2 para Drupal permite a atacantes remotos escribir en archivos PDF de su elección a través de vectores no especificados relacionados con la función fillpdf_merge_pdf y unos argumentos incorrectos. Se trata de una vulnerabilidad diferente a CVE-2012-1625a NOTA: algunos de estos detalles han sido obtenidos a partir de información de terceros. • http://drupal.org/node/1394428 http://osvdb.org/78181 http://secunia.com/advisories/47418 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51288 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.0EPSS: 0%CPEs: 24EXPL: 0CVE-2012-1625
https://notcve.org/view.php?id=CVE-2012-1625
Eval injection vulnerability in the fillpdf_form_export_decode function in fillpdf.admin.inc in the Fill PDF module 6.x-1.x before 6.x-1.16 and 7.x-1.x before 7.x-1.2 for Drupal allows remote authenticated users with administer PDFs privileges to execute arbitrary PHP code via unspecified vectors. NOTE: Some of these details are obtained from third party information. Vulnerabilidad de inyección mediante eval en la función fillpdf_form_export_decode en fillpdf.admin.inc en el módulo Fill PDF v6.x-1.x anteriores a v6.x-1.16 y v7.x-1.x anteriores a v7.x-1.2 para Drupal, permite a usuarios remotos autenticados con provilegios administrativos sobre PDFs a ejecutar comandos PHP a través de vectores no especificados. NOTA: alguna de esta información se ha obtenido de terceros. • http://drupal.org/node/1394428 http://osvdb.org/78182 http://secunia.com/advisories/47418 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/51288 • CWE-94: Improper Control of Generation of Code ('Code Injection') •