CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0CVE-2012-4468
https://notcve.org/view.php?id=CVE-2012-4468
Cross-site scripting (XSS) vulnerability in the Privatemsg module 7.x-1.x before 7.x-1.3 for Drupal allows remote attackers to inject arbitrary web script or HTML via a user name in a private message. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Privatemsg v7.x-1.x antes de v7.x-1.3 para Drupal permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un nombre de usuario en un mensaje privado. • http://drupal.org/node/1649338 http://drupal.org/node/1649346 http://www.openwall.com/lists/oss-security/2012/10/04/3 http://www.securityfocus.com/bid/54110 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4479
https://notcve.org/view.php?id=CVE-2012-4479
SQL injection vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el módulo Drag & Drop Gallery v6.x para Drupal permite a atacantes remotos ejecutar comandos SQL a través de vectores no especificados. • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.1EPSS: 1%CPEs: 2EXPL: 1CVE-2012-4472
https://notcve.org/view.php?id=CVE-2012-4472
Unrestricted file upload vulnerability in upload.php in the Drag & Drop Gallery module 6.x-1.5 and earlier for Drupal allows remote attackers to execute arbitrary PHP code by uploading a file with an executable extension followed by a safe extension, then accessing it via a direct request to the directory specified by the filedir parameter. Una vulnerabilidad de subida de archivos sin restriccionesen en upload.php en el módulo Drag & Drop Gallery v6.x-1.5 y anteriores para Drupal permite a atacantes remotos ejecutar código PHP de su elección mediante la carga de un archivo con extensión ejecutable seguido de una extensión segura, para a continuación acceder al mismo mediante una solicitud directa al directorio especificado por el parámetro filedir. • http://drupal.org/node/1679442 http://secunia.com/advisories/49698 http://www.opensyscom.fr/Actualites/drupal-modules-drag-a-drop-gallery-arbitrary-file-upload-vulnerability.html http://www.openwall.com/lists/oss-security/2012/10/04/5 http://www.securityfocus.com/bid/54380 •
CVSS: 2.6EPSS: 0%CPEs: 9EXPL: 0CVE-2012-4469
https://notcve.org/view.php?id=CVE-2012-4469
Cross-site scripting (XSS) vulnerability in the Hashcash module 6.x-2.x before 6.x-2.6 and 7.x-2.x before 7.x-2.2 for Drupal, when "Log failed hashcash" is enabled, allows remote attackers to inject arbitrary web script or HTML via an invalid token, which is not properly handled when administrators use the Database logging module. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Hashcash v6.x-2.x antes de v6.x-2.6 y v7.x-2.x antes de v7.x-2.2 para Drupal, cuando está habilitada la funcion "Log Failed hascash", permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un token válido, lo cual no es correctamente gestionado cuando los administradores utilizan el módulo de registro de base de datos. • http://drupal.org/node/1650784 http://drupal.org/node/1650790 http://drupal.org/node/1663306 http://www.openwall.com/lists/oss-security/2012/10/04/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4473
https://notcve.org/view.php?id=CVE-2012-4473
The Restrict node page view module 7.x-1.x before 7.x-1.2 for Drupal allows remote authenticated users with the "view any node page" or "view any node {type} page" permission to access unpublished nodes via a direct request. El módulo de vista de página de nodo restringidos ("Restrict node page view module") v7.x-1.x antes de v7.x-1.2 para Drupal permite a usuarios remotos autenticados con los permisos "ver cualquier nodo de página" o "ver pagina de cualquier {tipo de} nodo" permite acceder a los nodos no publicados a través de un solicitud directa. • http://drupal.org/node/1662724 http://drupal.org/node/1679466 http://www.openwall.com/lists/oss-security/2012/10/04/3 http://www.securityfocus.com/bid/54407 • CWE-264: Permissions, Privileges, and Access Controls •