CVE-2009-3921
https://notcve.org/view.php?id=CVE-2009-3921
The Smartqueue_og module 5.x before 5.x-1.3 and 6.x before 6.x-1.0-rc3, a module for Drupal, does not verify group-node privileges in certain circumstances involving subqueue creation, which allows remote authenticated users to discover arbitrary organic group names by reading confirmation messages. El módulo Smartqueue_og v5.x anteriores a v5.x-1.3 y v6.x anteriores a6.x-1.0-rc3, módulo para Drupal, en ciertas circunstancias no verifica los privilegios del nodo de grupo, implicando la creación de una sub-cola que permite a usuarios remotos autenticados, descubrir nombres de grupo orgánicos de su elección leyendo los mensajes de confirmación. • http://drupal.org/node/617496 http://drupal.org/node/617500 http://drupal.org/node/623554 http://osvdb.org/59675 http://secunia.com/advisories/37288 http://www.securityfocus.com/bid/36925 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2009-3916
https://notcve.org/view.php?id=CVE-2009-3916
Cross-site scripting (XSS) vulnerability in the Node Hierarchy module 5.x before 5.x-1.3 and 6.x before 6.x-1.3, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via a child node title. Una vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el modulo de Drupal "Node Hierarchy" v5.x antes de v5.x-1.3 y v6.x antes de v6.x-1.3, permite a atacantes remotos inyectar HTML o scripts web a través de un título de nodo hijo. • http://drupal.org/node/622092 http://drupal.org/node/622100 http://drupal.org/node/623490 http://osvdb.org/59674 http://secunia.com/advisories/37284 http://www.securityfocus.com/bid/37071 https://exchange.xforce.ibmcloud.com/vulnerabilities/54146 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-3915
https://notcve.org/view.php?id=CVE-2009-3915
Cross-site scripting (XSS) vulnerability in the "Separate title and URL" formatter in the Link module 5.x before 5.x-2.6 and 6.x before 6.x-2.7, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via the link title field. Una vulnerabilidad de ejecución de secuencias de comandos en el formateador de separación de título y URL del módulo de Drupal "Link" v5.x antes de v5.x-2.6 y v6.x antes de v6.x-2.7, permite a atacantes remotos inyectar HTML o scripts web a través del campo de título del enlace. • http://drupal.org/node/620662 http://drupal.org/node/620668 http://drupal.org/node/623562 http://osvdb.org/59672 http://secunia.com/advisories/37289 http://www.securityfocus.com/bid/36928 https://exchange.xforce.ibmcloud.com/vulnerabilities/54142 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-3922
https://notcve.org/view.php?id=CVE-2009-3922
Multiple cross-site request forgery (CSRF) vulnerabilities in the User Protect module 5.x before 5.x-1.4 and 6.x before 6.x-1.3, a module for Drupal, allow remote attackers to hijack the authentication of administrators for requests that (1) delete the editing protection of a user or (2) delete a certain type of administrative-bypass rule. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el módulo User Protect v5.x anteriores a v5.x-1.4 y v6.x anteriores a v6.x-1.3, módulo para Drupal, permite a atacantes remotos secuestrar la autenticación de los administradores para peticiones que (1) elimine la protección de edición de un usuario y (2) elimine ciertos tipos de reglas de prevención de administración. • http://drupal.org/node/623162 http://drupal.org/node/623180 http://drupal.org/node/623186 http://osvdb.org/59692 http://secunia.com/advisories/37283 http://www.securityfocus.com/bid/36922 https://exchange.xforce.ibmcloud.com/vulnerabilities/54145 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2009-3918
https://notcve.org/view.php?id=CVE-2009-3918
Cross-site scripting (XSS) vulnerability in the Zoomify module 5.x before 5.x-2.2 and 6.x before 6.x-1.4, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via the node title. Una vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo de Drupal "Zoomify" v5.x antes de v5.x-2.2 y v6.x antes de v6.x-1.4 permite a atacantes remotos inyectar HTML o scripts weba través del título del nodo. • http://drupal.org/node/623434 http://drupal.org/node/623436 http://drupal.org/node/623678 http://osvdb.org/59671 http://secunia.com/advisories/37263 http://www.securityfocus.com/bid/36930 https://exchange.xforce.ibmcloud.com/vulnerabilities/54155 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •