CVSS: 6.8EPSS: 0%CPEs: 14EXPL: 1CVE-2012-2080
https://notcve.org/view.php?id=CVE-2012-2080
Cross-site request forgery (CSRF) vulnerability in the Node Limit Number module before 6.x-1.2 for Drupal allows remote attackers to hijack the authentication of users with the administer node limitnumber permission for requests that delete limits. Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en el módulo de límite de número de nodo (Node Limit Number) antes de v6.x-1.2 para Drupal permite a atacantes remotos secuestrar la autenticación de los usuarios con el permiso que tengan permisos de administración del número límite de nodos para las solicitudes que eliminen los límites. • http://drupal.org/node/1506594 http://drupal.org/node/1506728 http://drupalcode.org/project/node_limitnumber.git/commit/90f0d3a http://osvdb.org/80684 http://secunia.com/advisories/48597 http://www.openwall.com/lists/oss-security/2012/04/07/1 http://www.securityfocus.com/bid/52816 https://exchange.xforce.ibmcloud.com/vulnerabilities/74525 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 0%CPEs: 10EXPL: 0CVE-2012-2307
https://notcve.org/view.php?id=CVE-2012-2307
Cross-site request forgery (CSRF) vulnerability in the Addressbook module for Drupal 6.x-4.2 and earlier allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en el módulo Addressbook para Drupal v6.x-4.2 y anteriores, permite a atacantes remotos secuestrar la autenticación de víctimas no especificadas a través de vectores desconocidos. • http://drupal.org/node/1557868 http://www.openwall.com/lists/oss-security/2012/05/03/1 http://www.openwall.com/lists/oss-security/2012/05/03/2 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 79EXPL: 2CVE-2012-2922
https://notcve.org/view.php?id=CVE-2012-2922
The request_path function in includes/bootstrap.inc in Drupal 7.14 and earlier allows remote attackers to obtain sensitive information via the q[] parameter to index.php, which reveals the installation path in an error message. La función request_path en includes/bootstrap.inc en Drupal v7.14 y anteriores, permite a atacantes remotos obtener información sensible a través del parámetro q[] sobre index.php, lo que revela el path de instalación en un mensaje de error. • http://archives.neohapsis.com/archives/bugtraq/2012-05/0052.html http://archives.neohapsis.com/archives/bugtraq/2012-05/0053.html http://archives.neohapsis.com/archives/bugtraq/2012-05/0055.html http://osvdb.org/81817 http://secunia.com/advisories/49131 http://www.mandriva.com/security/advisories?name=MDVSA-2013:074 http://www.openwall.com/lists/oss-security/2012/08/02/8 http://www.securityfocus.com/bid/53454 https://exchange.xforce.ibmcloud.com/vulnerabilities/75531 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 148EXPL: 3CVE-2007-6752 – Drupal 7.12 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2007-6752
Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off. ** DISCUTIDO ** Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Drupal 7.12 y anteriores permite a atacantes remotos secuestrar la autenticación de los usuarios arbitrarios para solicitudes que terminan una sesión a través de la URI usuario / cierre de sesión. NOTA: el vendedor se opone a la importancia de esta cuestión, teniendo en cuenta el "beneficio de la seguridad frente a la complejidad y la plataforma de impacto en el rendimiento" y la conclusión de que un cambio en el comportamiento de cierre de sesión no está previsto porque "la mayoría de los sitios no vale la pena la compensación." • https://www.exploit-db.com/exploits/18564 http://drupal.org/node/144538 http://groups.drupal.org/node/216314 http://ivanobinetti.blogspot.it/2012/03/drupal-cms-712-latest-stable-release.html http://packetstormsecurity.org/files/110404/drupal712-xsrf.txt http://www.exploit-db.com/exploits/18564 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 58EXPL: 0CVE-2011-4113
https://notcve.org/view.php?id=CVE-2011-4113
SQL injection vulnerability in the Views module before 6.x-2.13 for Drupal allows remote attackers to execute arbitrary SQL commands via vectors related to "filters/arguments on certain types of views with specific configurations of arguments." Vulnerabilidad de inyección SQL en el módulo Views antes de v6.x-2.13 para Drupal permite a atacantes remotos ejecutar comandos SQL a través de vectores relacionados con "filtros o argumentos en ciertos tipos de vistas con configuraciones específicas de los argumentos." • http://drupal.org/node/1329842 http://drupal.org/node/1329898 http://lists.fedoraproject.org/pipermail/package-announce/2011-November/069499.html http://secunia.com/advisories/46680 http://secunia.com/advisories/46962 http://www.openwall.com/lists/oss-security/2011/11/04/3 http://www.osvdb.org/76809 http://www.securityfocus.com/bid/50500 https://exchange.xforce.ibmcloud.com/vulnerabilities/71124 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •