CVSS: 8.8EPSS: 2%CPEs: 14EXPL: 0CVE-2008-3742
https://notcve.org/view.php?id=CVE-2008-3742
27 Aug 2008 — Unrestricted file upload vulnerability in the BlogAPI module in Drupal 5.x before 5.10 and 6.x before 6.4 allows remote authenticated users to execute arbitrary code by uploading a file with an executable extension, which is not validated. Vulnerabilidad de subida de ficheros sin restricción en el módulo BlogAPI de Drupal 5.x anterior a 5.10 y 6.x anterior a 6.4, permite a a usuarios autenticados en remotos ejecutar código de su elección mediante la subida de un fichero con la extensión de un ejecutable, lo... • http://drupal.org/node/295053 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 14EXPL: 0CVE-2008-3744
https://notcve.org/view.php?id=CVE-2008-3744
27 Aug 2008 — Multiple cross-site request forgery (CSRF) vulnerabilities in Drupal 5.x before 5.10 and 6.x before 6.4 allow remote attackers to hijack the authentication of administrators for requests that (1) add or (2) delete user access rules. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Drupal 5.x versiones anteriores a 5.10 y 6.x versiones anteriores a 6.4 permiten a atacantes remotos (1) añadir o (2) borrar reglas de acceso de usuarios como administradores a través de una URL... • http://drupal.org/node/295053 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 1%CPEs: 4EXPL: 0CVE-2008-3219
https://notcve.org/view.php?id=CVE-2008-3219
18 Jul 2008 — The Drupal filter_xss_admin function in 5.x before 5.8 and 6.x before 6.3 does not "prevent use of the object HTML tag in administrator input," which has unknown impact and attack vectors, probably related to an insufficient cross-site scripting (XSS) protection mechanism. La función filter_xss_admin en versiones de Drupal 5.X anteriores a la 5.8 y 6.X anteriores a la 6.3 no "impide la utilización del objeto etiqueta HTML en la entrada de administrador" lo cual tiene un impacto desconocido y vectores de ata... • http://drupal.org/node/280571 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2008-3220
https://notcve.org/view.php?id=CVE-2008-3220
18 Jul 2008 — Cross-site request forgery (CSRF) vulnerability in Drupal 5.x before 5.8 and 6.x before 6.3 allows remote attackers to perform administrative actions via vectors involving deletion of "translated strings." Vulnerabilidad de Falsificación de petición en sitios cruzados (CSRF) en versiones de Drupal 5.x anteriores a 5.8 y 6.X anteriores a 6.3 permite a atacantes remotos realizar acciones administrativas a través de vectores que impliquen la supresión de "cadenas traducidas". • http://drupal.org/node/280571 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.1EPSS: 1%CPEs: 4EXPL: 0CVE-2008-3222
https://notcve.org/view.php?id=CVE-2008-3222
18 Jul 2008 — Session fixation vulnerability in Drupal 5.x before 5.9 and 6.x before 6.3, when contributed modules "terminate the current request during a login event," allows remote attackers to hijack web sessions via unknown vectors. Una vulnerabilidad de fijación de sesión en Drupal versiones 5.x anteriores a 5.9 y versiones 6.x anteriores a 6.3, cuando los módulos aportados "terminate the current request during a login event", permite a los atacantes remotos secuestrar sesiones web por medio de vectores desconocidos... • http://drupal.org/node/280571 • CWE-384: Session Fixation •
CVSS: 6.1EPSS: 0%CPEs: 15EXPL: 0CVE-2008-2998
https://notcve.org/view.php?id=CVE-2008-2998
03 Jul 2008 — Multiple cross-site scripting (XSS) vulnerabilities in the Aggregation module 5.x before 5.x-4.4 for Drupal allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el módulo Aggregation 5.x versiones anteriores a 5.x-4.4 para Drupal permiten a atacantes remotos inyectar web script o HTML de su elección a través de vectores no especificados. • http://drupal.org/node/269479 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 15EXPL: 0CVE-2008-2999
https://notcve.org/view.php?id=CVE-2008-2999
03 Jul 2008 — Multiple SQL injection vulnerabilities in the Aggregation module 5.x before 5.x-4.4 for Drupal allow remote attackers to execute arbitrary SQL commands via unspecified vectors. Múltiples vulnerabilidades de inyección SQL en el módulo Aggregation 5.x versiones anteriores a 5.x-4.4 módulo Aggregation permiten a atacantes remotos ejecutar comandos SQL de su elección a través de vectores no especificados. • http://drupal.org/node/269479 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.1EPSS: 0%CPEs: 4EXPL: 0CVE-2008-2771
https://notcve.org/view.php?id=CVE-2008-2771
18 Jun 2008 — The Node Hierarchy module 5.x before 5.x-1.1 and 6.x before 6.x-1.0 for Drupal does not properly implement access checks, which allows remote attackers with "access content" permissions to bypass restrictions and modify the node hierarchy via unspecified attack vectors. El módulo Node Hierarchy 5.x anterior a 5.x-1.1 y 6.x anteriores a 6.x-1.0 para Drupal no implementa adecuadamente los controles de acceso, lo que permite a atacantes remotos con permiso de "acceso al contenido", evitar las restricciones y m... • http://drupal.org/node/269473 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2008-1978
https://notcve.org/view.php?id=CVE-2008-1978
27 Apr 2008 — Cross-site scripting (XSS) vulnerability in the Ubercart 5.x before 5.x-1.0 rc3 module for Drupal allows remote authenticated users to inject arbitrary web script or HTML via node titles related to unspecified product features, a different vector than CVE-2008-1428. Vulnerabilidad de secuencias de órdenes en sitios cruzados (XSS) en el módulo Ubercart 5.x anteriores a 5.x-1.0 rc3 de Drupal permite a usuarios remotos autenticados inyectar 'script' web o HTML de su elección mediante títulos de nodos relaciona... • http://drupal.org/node/250343 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2008-1980
https://notcve.org/view.php?id=CVE-2008-1980
27 Apr 2008 — Cross-site scripting (XSS) vulnerability in E-Publish 5.x before 5.x-1.1 and 6.x before 6.x-1.0 beta1, a Drupal module, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de órdenes (XSS) en el módulo de Drupal "E-Publish" 5.x anteriores a 5.x-1.1 y 6.x anteriores a 6.x-1.0 beta1, permite a atacantes remotos inyectar 'script' web o HTML de su elección mediante vectores no especificados. • http://drupal.org/node/250408 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •