CVE-2009-4990
https://notcve.org/view.php?id=CVE-2009-4990
Cross-site scripting (XSS) vulnerability in the Webform report module 5.x and 6.x for Drupal allows remote attackers to inject arbitrary web script or HTML via a submission. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo WebForm v5.x y v6.x para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del envío de un formulario. • http://drupal.org/node/540980 http://secunia.com/advisories/36181 http://www.securityfocus.com/bid/35953 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2724
https://notcve.org/view.php?id=CVE-2010-2724
Cross-site scripting (XSS) vulnerability in the Hierarchical Select module 5.x before 5.x-3.2 and 6.x before 6.x-3.2 for Drupal allows remote authenticated users, with administer taxonomy permissions, to inject arbitrary web script or HTML via unspecified vectors in the hierarchical_select form. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Hierarchical Select 5.x en versiones anteriores a la 5.x-3.2 y 6.x en versiones anteriores a la 6.x-3.2 para Drupal, permite a atacantes remotos autenticados, con permisos de administrador "taxonomy", inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados el el formulario hierarchical_select. • http://drupal.org/node/847488 http://osvdb.org/66117 http://secunia.com/advisories/40440 http://www.securityfocus.com/bid/41450 https://exchange.xforce.ibmcloud.com/vulnerabilities/60158 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2353
https://notcve.org/view.php?id=CVE-2010-2353
The Node Reference module in Content Construction Kit (CCK) module 6.x before 6.x-2.7 for Drupal does not perform access checks for the source field in the backend URL for the autocomplete widget, which allows remote attackers to discover titles and IDs of controlled nodes. El módulo "Node Reference" (referencia de nodo) en el módulo "Content Construction Kit" (CCK o kit de construcción de contenido) v6.x en versiones anteriores a la v6.x-2.7 para Drupal no realiza comprobaciones de acceso para el campo "source" (fuente) en la URL de administración para la funcionalidad autocompletar (autocomplete widget), lo que permite a atacantes remotos descubrir títulos e IDs de los nodos controlados. • http://drupal.org/node/829566 http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043100.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043172.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043191.html http://osvdb.org/65615 http://secunia.com/advisories/40243 http://secunia.com/advisories/40318 http://www.vupen.com/english/advisories/2010/1546 https://exchange.xforce.ibmcloud.com/vulnerabilities/59515 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2010-2352
https://notcve.org/view.php?id=CVE-2010-2352
The Node Reference module in Content Construction Kit (CCK) module 5.x before 5.x-1.11 and 6.x before 6.x-2.7 for Drupal does not perform access checks before displaying referenced nodes, which allows remote attackers to read controlled nodes. El módulo "Node Reference" (referencia de nodo) en el módulo "Content Construction Kit" (CCK o kit de construcción de contenido) v5.x en versiones anteriores a la v5.x-1.11 y v6.x en versiones anteriores a la v6.x-2.7 para Drupal no realiza comprobaciones de acceso antes de mostrar los nodos referenciados, lo que permite a atacantes remotos leer los nodos controlados. • http://drupal.org/node/829566 http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043100.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043172.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043191.html http://osvdb.org/65615 http://secunia.com/advisories/40243 http://secunia.com/advisories/40318 http://www.vupen.com/english/advisories/2010/1546 https://exchange.xforce.ibmcloud.com/vulnerabilities/59515 • CWE-20: Improper Input Validation •
CVE-2010-1958
https://notcve.org/view.php?id=CVE-2010-1958
Cross-site scripting (XSS) vulnerability in the FileField module 5.x before 5.x-2.5 and 6.x before 6.x-3.4 for Drupal allows remote authenticated users, with create or edit permissions and 'Path to File' or 'URL to File' display enabled, to inject arbitrary web script or HTML via the file name (filepath parameter). Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo FileField v5.x anteriores a v5.x-2.5 y v6.x anteriores a v6.x-3.4 para Drupal. Permite a usuarios remotos autenticados, con permisos de creacción o edición y la caracterísitica de "Ruta a fichero" o "URL a fichero" activada, inyectar codigo de script web o código HTML de su elección a través del nombre de fichero (parámetro filepath). • http://drupal.org/node/829808 http://osvdb.org/65611 http://secunia.com/advisories/40186 http://www.madirish.net/?article=461 http://www.securityfocus.com/bid/40923 https://exchange.xforce.ibmcloud.com/vulnerabilities/59500 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •