CVSS: 5.0EPSS: 0%CPEs: 32EXPL: 0CVE-2010-3091
https://notcve.org/view.php?id=CVE-2010-3091
The OpenID module in Drupal 6.x before 6.18, and the OpenID module 5.x before 5.x-1.4 for Drupal, violates the OpenID 2.0 protocol by not verifying the openid.return_to value, which allows remote attackers to bypass authentication by leveraging an assertion from an OpenID provider. El módulo OpenID en Drupal v6.x anterior a v6.18, y el módulo OpenID v5.x anterior a v5.x-1.4 para Drupal, viola el protocolo OpenID v2.0, al no verificar el valor openid.return_to, lo cual permite a atacantes remotos evitar la autenticación mediante el aprovechamiento de una afirmación de un proveedor de OpenID. • http://drupal.org/node/880476 http://drupal.org/node/880480 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42388 • CWE-287: Improper Authentication •
CVSS: 5.5EPSS: 0%CPEs: 55EXPL: 0CVE-2010-3092
https://notcve.org/view.php?id=CVE-2010-3092
The upload module in Drupal 5.x before 5.23 and 6.x before 6.18 does not properly support case-insensitive filename handling in a database configuration, which allows remote authenticated users to bypass the intended restrictions on downloading a file by uploading a different file with a similar name. El módulo de carga en Drupal v5.x anterior a v5.23 y v6.x anterior a v6.18 no soporta apropiadamente la manipulación de nombres de archivos insensibles a mayúsculas y minúsculas en la configuración de la base de datos, lo que permite a usuarios autenticados remotamente evitar restricciones pretendidas en la descarga de un fichero mediante la carga de un fichero diferente con un nombre similar. • http://drupal.org/node/880476 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42391 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 0%CPEs: 55EXPL: 0CVE-2010-3093
https://notcve.org/view.php?id=CVE-2010-3093
The comment module in Drupal 5.x before 5.23 and 6.x before 6.18 allows remote authenticated users with certain privileges to bypass intended access restrictions and reinstate removed comments via a crafted URL, related to an "unpublishing bypass" issue. El módulo comentario en Drupal v5.x anterior a v5.23 y v6.x anterior a v6.18 permite a usuarios autenticados remotamente con ciertos privilegios evitar restricciones de acceso pretendidas y restaurar comentarios eliminados a través de una URL manipulada, relacionado con un fallo "unpublishing bypass" • http://drupal.org/node/880476 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42391 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 14EXPL: 0CVE-2009-4990
https://notcve.org/view.php?id=CVE-2009-4990
Cross-site scripting (XSS) vulnerability in the Webform report module 5.x and 6.x for Drupal allows remote attackers to inject arbitrary web script or HTML via a submission. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en el módulo WebForm v5.x y v6.x para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del envío de un formulario. • http://drupal.org/node/540980 http://secunia.com/advisories/36181 http://www.securityfocus.com/bid/35953 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 2.1EPSS: 0%CPEs: 33EXPL: 0CVE-2010-2724
https://notcve.org/view.php?id=CVE-2010-2724
Cross-site scripting (XSS) vulnerability in the Hierarchical Select module 5.x before 5.x-3.2 and 6.x before 6.x-3.2 for Drupal allows remote authenticated users, with administer taxonomy permissions, to inject arbitrary web script or HTML via unspecified vectors in the hierarchical_select form. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Hierarchical Select 5.x en versiones anteriores a la 5.x-3.2 y 6.x en versiones anteriores a la 6.x-3.2 para Drupal, permite a atacantes remotos autenticados, con permisos de administrador "taxonomy", inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados el el formulario hierarchical_select. • http://drupal.org/node/847488 http://osvdb.org/66117 http://secunia.com/advisories/40440 http://www.securityfocus.com/bid/41450 https://exchange.xforce.ibmcloud.com/vulnerabilities/60158 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •