CVE-2022-25270
https://notcve.org/view.php?id=CVE-2022-25270
The Quick Edit module does not properly check entity access in some circumstances. This could result in users with the "access in-place editing" permission viewing some content they are are not authorized to access. Sites are only affected if the QuickEdit module (which comes with the Standard profile) is installed. El módulo Quick Edit no comprueba correctamente el acceso a las entidades en algunas circunstancias. Esto podría resultar en que usuarios con el permiso de "access in-place editing" visualicen algunos contenidos a los que no están autorizados a acceder. • https://www.drupal.org/sa-core-2022-004 • CWE-863: Incorrect Authorization •
CVE-2022-25271
https://notcve.org/view.php?id=CVE-2022-25271
Drupal core's form API has a vulnerability where certain contributed or custom modules' forms may be vulnerable to improper input validation. This could allow an attacker to inject disallowed values or overwrite data. Affected forms are uncommon, but in certain cases an attacker could alter critical or sensitive data. La API de formularios del núcleo de Drupal presenta una vulnerabilidad en la que determinados formularios de módulos contribuidos o personalizados pueden ser vulnerables a una comprobación inapropiada de entradas. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVKIOWSXL2RF2ULNAP7PHESYCFSZIJE3 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGSY236PYSFYIEBRGDERLA7OSY6D7XL4 https://www.drupal.org/sa-core-2022-003 • CWE-20: Improper Input Validation •
CVE-2020-13677
https://notcve.org/view.php?id=CVE-2020-13677
Under some circumstances, the Drupal core JSON:API module does not properly restrict access to certain content, which may result in unintended access bypass. Sites that do not have the JSON:API module enabled are not affected. En algunas circunstancias, el módulo JSON:API del núcleo de Drupal no restringe apropiadamente el acceso a determinados contenidos, lo que puede resultar en una omisión de acceso no intencionada. Los sitios que no presentan el módulo JSON:API habilitado no están afectados • https://www.drupal.org/sa-core-2021-010 • CWE-284: Improper Access Control •
CVE-2020-13676
https://notcve.org/view.php?id=CVE-2020-13676
The QuickEdit module does not properly check access to fields in some circumstances, which can lead to unintended disclosure of field data. Sites are only affected if the QuickEdit module (which comes with the Standard profile) is installed. El módulo QuickEdit no comprueba correctamente el acceso a los campos en algunas circunstancias, que puede conllevar a una divulgación involuntaria de los datos de los campos. Los sitios sólo están afectados si el módulo QuickEdit (que viene con el perfil estándar) está instalado • https://www.drupal.org/sa-core-2021-009 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2020-13670
https://notcve.org/view.php?id=CVE-2020-13670
Information Disclosure vulnerability in file module of Drupal Core allows an attacker to gain access to the file metadata of a permanent private file that they do not have access to by guessing the ID of the file. This issue affects: Drupal Core 8.8.x versions prior to 8.8.10; 8.9.x versions prior to 8.9.6; 9.0.x versions prior to 9.0.6. Una vulnerabilidad de Divulgación de Información en el módulo de archivos de Drupal Core permite a un atacante conseguir acceso a metadatos de un archivo privado permanente al que no presenta acceso al adivinar el ID del archivo. Este problema afecta a: Drupal Core versiones 8.8.x anteriores a 8.8.10; versiones 8.9.x anteriores a 8.9.6; versiones 9.0.x anteriores a 9.0.6 • https://www.drupal.org/sa-core-2020-011 • CWE-668: Exposure of Resource to Wrong Sphere •