CVE-2008-6910
https://notcve.org/view.php?id=CVE-2008-6910
Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not use timeouts for signed requests, which allows remote attackers to impersonate other users and gain privileges via a replay attack that sends the same request. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no emplea tiempos de espera para las peticiones firmadas, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios a través de un ataque de reproducción que envía la misma petición. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/52441 • CWE-310: Cryptographic Issues •
CVE-2008-6908
https://notcve.org/view.php?id=CVE-2008-6908
Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, uses an insecure hash when signing requests, which allows remote attackers to impersonate other users and gain privileges. Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13, un módulo de Drupal, utiliza un hash inseguro al firmar las solicitudes, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 • CWE-310: Cryptographic Issues •
CVE-2009-2610
https://notcve.org/view.php?id=CVE-2009-2610
Cross-site scripting (XSS) vulnerability in the Links Related module in the Links Package 5.x before 5.x-1.13 and 6.x before 6.x-1.2, a module for Drupal, allows remote authenticated users to inject arbitrary web script or HTML via the title field. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Links Related en Links Package v5.x anteriores a v5.x-1.13 y v6.x anteioriores a v6.x-1.2, un módulo para Drupal, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML de su elección mediante el campo "title". • http://drupal.org/node/501356 http://drupal.org/node/501360 http://drupal.org/node/502112 http://osvdb.org/55326 http://secunia.com/advisories/35557 http://www.securityfocus.com/bid/35491 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-2572
https://notcve.org/view.php?id=CVE-2009-2572
Cross-site request forgery (CSRF) vulnerability in the Fivestar module 5.x-1.x before 5.x-1.14 and 6.x-1.x before 6.x-1.14, a module for Drupal, allows remote attackers to hijack the authentication of arbitrary users for requests that cast votes. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en módulo Fivestar v5.x-1.x anteriores v5.x-1.14 y v6.x-1.x anteriores v6.x-1.14, un módulo de Drupal, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para peticiones de votación. • http://drupal.org/node/449026 http://drupal.org/node/449028 http://drupal.org/node/449042 http://osvdb.org/54154 http://secunia.com/advisories/34956 http://www.vupen.com/english/advisories/2009/1215 https://exchange.xforce.ibmcloud.com/vulnerabilities/50245 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2009-2373
https://notcve.org/view.php?id=CVE-2009-2373
Cross-site scripting (XSS) vulnerability in the Forum module in Drupal 6.x before 6.13 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Forum en Drupal v.6.x anteriores a v.6.13 permite a los atacantes remotos inyectar código web o HTM a través de vectores no especificados. • http://drupal.org/node/507572 http://osvdb.org/55524 http://secunia.com/advisories/35681 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •