CVSS: 5.1EPSS: 1%CPEs: 2EXPL: 1CVE-2012-4472
https://notcve.org/view.php?id=CVE-2012-4472
Unrestricted file upload vulnerability in upload.php in the Drag & Drop Gallery module 6.x-1.5 and earlier for Drupal allows remote attackers to execute arbitrary PHP code by uploading a file with an executable extension followed by a safe extension, then accessing it via a direct request to the directory specified by the filedir parameter. Una vulnerabilidad de subida de archivos sin restriccionesen en upload.php en el módulo Drag & Drop Gallery v6.x-1.5 y anteriores para Drupal permite a atacantes remotos ejecutar código PHP de su elección mediante la carga de un archivo con extensión ejecutable seguido de una extensión segura, para a continuación acceder al mismo mediante una solicitud directa al directorio especificado por el parámetro filedir. • http://drupal.org/node/1679442 http://secunia.com/advisories/49698 http://www.opensyscom.fr/Actualites/drupal-modules-drag-a-drop-gallery-arbitrary-file-upload-vulnerability.html http://www.openwall.com/lists/oss-security/2012/10/04/5 http://www.securityfocus.com/bid/54380 •
CVSS: 2.6EPSS: 0%CPEs: 9EXPL: 0CVE-2012-4469
https://notcve.org/view.php?id=CVE-2012-4469
Cross-site scripting (XSS) vulnerability in the Hashcash module 6.x-2.x before 6.x-2.6 and 7.x-2.x before 7.x-2.2 for Drupal, when "Log failed hashcash" is enabled, allows remote attackers to inject arbitrary web script or HTML via an invalid token, which is not properly handled when administrators use the Database logging module. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Hashcash v6.x-2.x antes de v6.x-2.6 y v7.x-2.x antes de v7.x-2.2 para Drupal, cuando está habilitada la funcion "Log Failed hascash", permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un token válido, lo cual no es correctamente gestionado cuando los administradores utilizan el módulo de registro de base de datos. • http://drupal.org/node/1650784 http://drupal.org/node/1650790 http://drupal.org/node/1663306 http://www.openwall.com/lists/oss-security/2012/10/04/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4473
https://notcve.org/view.php?id=CVE-2012-4473
The Restrict node page view module 7.x-1.x before 7.x-1.2 for Drupal allows remote authenticated users with the "view any node page" or "view any node {type} page" permission to access unpublished nodes via a direct request. El módulo de vista de página de nodo restringidos ("Restrict node page view module") v7.x-1.x antes de v7.x-1.2 para Drupal permite a usuarios remotos autenticados con los permisos "ver cualquier nodo de página" o "ver pagina de cualquier {tipo de} nodo" permite acceder a los nodos no publicados a través de un solicitud directa. • http://drupal.org/node/1662724 http://drupal.org/node/1679466 http://www.openwall.com/lists/oss-security/2012/10/04/3 http://www.securityfocus.com/bid/54407 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 5EXPL: 0CVE-2012-4475
https://notcve.org/view.php?id=CVE-2012-4475
The Security Questions module for Drupal 6.x-1.x before 6.x-1.1 and 7.x-1.x before 7.x-1.1 does not properly restrict access, which allows remote attackers to edit an arbitrary user's questions and answers via unspecified vectors. El módulo Security Questions v6.x-1.x antes de v.x-1.1 y v7.x-1.x antes de v7.x-1.1 para Drupal no restringe adecuadamente el acceso, lo que permite a atacantes remotos editar las preguntas y respuestas de un usuario de su elección a través de vectores no especificados. • http://drupal.org/node/1648200 http://drupal.org/node/1648204 http://drupal.org/node/1679532 http://www.openwall.com/lists/oss-security/2012/10/04/3 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4477
https://notcve.org/view.php?id=CVE-2012-4477
Unspecified vulnerability in the Drag & Drop Gallery module 6.x for Drupal allows remote attackers to bypass access restrictions via unknown attack vectors. Vulnerabilidad no especificada en el módulo Drag & Drop Gallery v6.x para Drupal permite a atacantes remotos evitar restricciones de acceso a través de vectores desconocidos. • http://drupal.org/node/1679442 http://www.openwall.com/lists/oss-security/2012/10/04/5 • CWE-264: Permissions, Privileges, and Access Controls •