CVSS: 2.1EPSS: 0%CPEs: 9EXPL: 1CVE-2012-2708
https://notcve.org/view.php?id=CVE-2012-2708
Cross-site scripting (XSS) vulnerability in the _hosting_task_log_table function in modules/hosting/task/hosting_task.module in the Hostmaster (Aegir) module 6.x-1.x before 6.x-1.9 for Drupal allows remote authenticated users with certain permissions to inject arbitrary web script or HTML via a Drush log message in a provision task log. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la función modules/hosting/task/hosting_task.module en el Hostmaster (Aegir) módulo v6.x-1.x anterior a v6.x-1.9 para Drupal permite a usuarios remotos autenticados con cierta permisos para inyectar secuencias de comandos web o HTML a través de un mensaje de registro Drush en un registro de tareas de provisión • http://community.aegirproject.org/1.9 http://drupal.org/node/1585658 http://drupal.org/node/1585678 http://drupalcode.org/project/hostmaster.git/commitdiff/9476561 http://www.openwall.com/lists/oss-security/2012/06/14/3 http://www.securityfocus.com/bid/53588 https://exchange.xforce.ibmcloud.com/vulnerabilities/75714 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 2.1EPSS: 0%CPEs: 5EXPL: 0CVE-2012-2705
https://notcve.org/view.php?id=CVE-2012-2705
The filter_titles function in the Smart Breadcrumb module 6.x-1.x before 6.x-1.3 for Drupal does not properly convert a title to plain-text, which allows remote authenticated users with create or edit node permissions to conduct cross-site scripting (XSS) attacks via the title parameter. La función filter_titles en el módulo Smart Breadcrumb v6.x-1.x anterior a v6.x-1.3 para Drupal no convierte correctamente un título a texto sin formato, permitiendo a usuarios remotos autenticados crear o editar los permisos de los nodos para realizar ataques XSS a través del parámetro title. • http://drupal.org/node/1568216 http://drupal.org/node/1585564 http://drupalcode.org/project/smart_breadcrumb.git/commitdiff/834f75a http://secunia.com/advisories/49163 http://www.openwall.com/lists/oss-security/2012/06/14/3 http://www.osvdb.org/82006 http://www.securityfocus.com/bid/53592 https://exchange.xforce.ibmcloud.com/vulnerabilities/75713 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 0CVE-2012-3798
https://notcve.org/view.php?id=CVE-2012-3798
The Janrain Capture module 6.x-1.0 and 7.x-1.0 for Drupal, when creating a local user account, allows attackers to obtain part of the initial input used to generate passwords, which makes it easier to conduct brute force password guessing attacks. El módulo Janrain Capture v6.x-1.0 y v7.x-1.0 para Drupal, cuando está creando una cuenta de de usuario local, permite a atacantes a obtener parte de la entrada inicial usada, lo que facilita conducir un ataque de fuerza bruta a la cuenta de invitado. • http://drupal.org/node/1632702 http://drupal.org/node/1632704 http://drupal.org/node/1632734 http://osvdb.org/82957 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.1EPSS: 0%CPEs: 9EXPL: 0CVE-2012-2719
https://notcve.org/view.php?id=CVE-2012-2719
The filedepot module 6.x-1.x before 6.x-1.3 for Drupal, when accessed using multiple different browsers from the same IP address, causes Internet Explorer sessions to "switch users" when uploading a file, which has unspecified impact possibly involving file uploads to the wrong user directory, aka "Session Management Vulnerability." El módulo fileDepot v6.x-1.x anterior a v6.x-1.3 para Drupal, cuando se accede con diversos navegadores diferentes a la misma dirección IP, causa que las sesiones de Internet Explorer cambien de usuario al cargar un archivo, el cual tiene un impacto no especificado el cual comprende la carga de un fichero al directorio de un usuario incorrecto. También conocido como vulnerabilidad de "Gestión de Sesión" • http://drupal.org/node/1598782 http://drupal.org/node/1608864 http://secunia.com/advisories/49316 http://www.openwall.com/lists/oss-security/2012/06/14/3 http://www.osvdb.org/82575 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.8EPSS: 0%CPEs: 9EXPL: 0CVE-2010-2021
https://notcve.org/view.php?id=CVE-2010-2021
Open redirect vulnerability in the Global Redirect module 6.x-1.x before 6.x-1.4 and 7.x-1.x before 7.x-1.4 for Drupal, when non-clean to clean is enabled, allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the q parameter. Vulnerabilidad de redirección abierta en el módulo Global Redirect v6.x-1.x anteriores a v6.x-1.4 y v7.x-1.x anteriores a v7.x-1.4 para Drupal, cuando «non-clean to clean» está activado, permite a atacantes remotos redireccionar a usuarios a sitios web de su elección y llevar a cabo ataques de phishing a través de de una URL en el parámetro q. • http://drupal.org/node/1633054 http://drupal.org/node/768244 http://secunia.com/advisories/49523 http://www.madirish.net/?article=460 http://www.openwall.com/lists/oss-security/2012/06/14/3 http://www.osvdb.org/82959 http://www.securityfocus.com/bid/54002 https://drupal.org/node/1378116 https://drupal.org/node/1378118 https://exchange.xforce.ibmcloud.com/vulnerabilities/76293 • CWE-20: Improper Input Validation •