CVSS: 6.8EPSS: 0%CPEs: 99EXPL: 0CVE-2015-6660
https://notcve.org/view.php?id=CVE-2015-6660
The Form API in Drupal 6.x before 6.37 and 7.x before 7.39 does not properly validate the form token, which allows remote attackers to conduct CSRF attacks that upload files in a different user's account via vectors related to "file upload value callbacks." Vulnerabilidad en la API Form en Drupal 6.x en versiones anteriores a 6.37 y 7.x en versiones anteriores a 7.39, no valida correctamente el token form, lo cual permite a atacantes remotos realizar ataques CSRF que cargan archivos en diferentes cuentas de usuario a través de vectores relacionados con 'valores devueltos en la carga de archivo'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165690.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165704.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165723.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165733.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165840.html http://www.debian.org&# • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 95EXPL: 0CVE-2015-6661
https://notcve.org/view.php?id=CVE-2015-6661
Drupal 6.x before 6.37 and 7.x before 7.39 allows remote attackers to obtain sensitive node titles by reading the menu. Vulnerabilidad en Drupal 6.x en versiones anteriores a 6.37 y 7.x en versiones anteriores a 7.39, permite a atacantes remotos obtener títulos sensibles de nodo leyendo el menú. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165690.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165704.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165723.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165733.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165840.html http://www.debian.org&# • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 78EXPL: 0CVE-2015-6665
https://notcve.org/view.php?id=CVE-2015-6665
Cross-site scripting (XSS) vulnerability in the Ajax handler in Drupal 7.x before 7.39 and the Ctools module 6.x-1.x before 6.x-1.14 for Drupal allows remote attackers to inject arbitrary web script or HTML via vectors involving a whitelisted HTML element, possibly related to the "a" tag. Vulnerabilidad de XSS en el manejador Ajax en Drupal 7.x en versiones anteriores a la 7.39 y el módulo Ctools 6.x-1.x en versiones anteriores a 6.x-1.14 para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores implicando un elemento HTML en la lista blanca, posiblemente relacionado con la etiqueta 'a'. • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165674.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165690.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165695.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165704.html http://lists.fedoraproject.org/pipermail/package-announce/2015-September/165723.html http://lists.fedoraproject& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 98EXPL: 0CVE-2015-3234
https://notcve.org/view.php?id=CVE-2015-3234
The OpenID module in Drupal 6.x before 6.36 and 7.x before 7.38 allows remote attackers to log into other users' accounts by leveraging an OpenID identity from certain providers, as demonstrated by the Verisign, LiveJournal, and StackExchange providers. El módulo OpenID en Drupal 6.x anterior a 6.36 y 7.x anterior a 7.38 permite a atacantes remotos iniciar sesión en las cuentas de otros usuarios mediante el aprovechamiento de una identidad OpenID de ciertos proveedores, tal y como fue demostrado por los proveedores Verisign, LiveJournal, y StackExchange. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161265.html http://www.debian.org/security/2015/dsa-3291 http://www.securityfocus.com/bid/75294 https://www.drupal.org/SA-CORE-2015-002 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 96EXPL: 0CVE-2015-2749
https://notcve.org/view.php?id=CVE-2015-2749
Open redirect vulnerability in Drupal 6.x before 6.35 and 7.x before 7.35 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the destination parameter. Una vulnerabilidad de redirección abierta en Drupal en las versiones 6.x anteriores a la 6.35 y 7.x anteriores a la 7.35 permite a atacantes remotos redirigir a los usuarios a páginas web arbitrarias y realizar ataques de phishing mediante una URL en el parámetro destination. • http://cgit.drupalcode.org/drupal/commit/?id=d2304f840c43c190c6e136ee9901ed9797b4c3ca http://www.debian.org/security/2015/dsa-3200 http://www.openwall.com/lists/oss-security/2015/03/26/4 http://www.securityfocus.com/bid/73219 https://bugzilla.redhat.com/show_bug.cgi?id=1204753 https://www.drupal.org/SA-CORE-2015-001 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •