CVE-2010-2352
https://notcve.org/view.php?id=CVE-2010-2352
The Node Reference module in Content Construction Kit (CCK) module 5.x before 5.x-1.11 and 6.x before 6.x-2.7 for Drupal does not perform access checks before displaying referenced nodes, which allows remote attackers to read controlled nodes. El módulo "Node Reference" (referencia de nodo) en el módulo "Content Construction Kit" (CCK o kit de construcción de contenido) v5.x en versiones anteriores a la v5.x-1.11 y v6.x en versiones anteriores a la v6.x-2.7 para Drupal no realiza comprobaciones de acceso antes de mostrar los nodos referenciados, lo que permite a atacantes remotos leer los nodos controlados. • http://drupal.org/node/829566 http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043100.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043172.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043191.html http://osvdb.org/65615 http://secunia.com/advisories/40243 http://secunia.com/advisories/40318 http://www.vupen.com/english/advisories/2010/1546 https://exchange.xforce.ibmcloud.com/vulnerabilities/59515 • CWE-20: Improper Input Validation •
CVE-2010-1958
https://notcve.org/view.php?id=CVE-2010-1958
Cross-site scripting (XSS) vulnerability in the FileField module 5.x before 5.x-2.5 and 6.x before 6.x-3.4 for Drupal allows remote authenticated users, with create or edit permissions and 'Path to File' or 'URL to File' display enabled, to inject arbitrary web script or HTML via the file name (filepath parameter). Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo FileField v5.x anteriores a v5.x-2.5 y v6.x anteriores a v6.x-3.4 para Drupal. Permite a usuarios remotos autenticados, con permisos de creacción o edición y la caracterísitica de "Ruta a fichero" o "URL a fichero" activada, inyectar codigo de script web o código HTML de su elección a través del nombre de fichero (parámetro filepath). • http://drupal.org/node/829808 http://osvdb.org/65611 http://secunia.com/advisories/40186 http://www.madirish.net/?article=461 http://www.securityfocus.com/bid/40923 https://exchange.xforce.ibmcloud.com/vulnerabilities/59500 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2158
https://notcve.org/view.php?id=CVE-2010-2158
Multiple cross-site scripting (XSS) vulnerabilities in the Storm module 5.x and 6.x before 6.x-1.33 for Drupal allow remote authenticated users, with certain module privileges, to inject arbitrary web script or HTML via the (1) fullname, (2) phone, or (3) im parameter in a stormperson action to index.php. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Multiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Storm v5.x y v6.x anterior a v6.x-1.33 para Drupal permite a usuarios autenticados remotamente, con ciertos privilegios del módulo, inyectar código web o HTML a través de los parámetros (1) fullname, (2) phone, o (3) im en una acción "stormperson" en index.php. NOTA: el origen de esta información es desconocido. Los detalles han sido obtenidos a partir de terceros. • http://drupal.org/node/803770 http://secunia.com/advisories/39732 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2123
https://notcve.org/view.php?id=CVE-2010-2123
Multiple cross-site scripting (XSS) vulnerabilities in the Storm module 5.x and 6.x before 6.x-1.33 for Drupal allow remote authenticated users, with certain module privileges, to inject arbitrary web script or HTML via the (1) fullname, (2) address, (3) city, (4) provstate (aka state), (5) phone, or (6) taxid parameter in a stormorganization action to index.php; the (7) name parameter in a stormperson action to index.php; the (8) stepno (aka Step no.) or (9) title parameter in a stormtask action to index.php; the (10) title (aka Project) parameter in a stormticket action to index.php; or (11) unspecified parameters in a stormproject action to index.php. NOTE: some of these details are obtained from third party information. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Storm v5.x y v6.x anterior a v6.x-1.33para Drupal permite a usuarios autenticados remotamente, con ciertos privilegios del módulo, inyectar código web o HTML a través de los parámetros (1) fullname, (2) address, (3) city, (4) provstate (también conocido como state), (5) phone, o (6) taxid en una acción "stormorganization" en index.php; el parámetro (7) name en una acción "stormperson" en index.php; los parámetros (8) stepno (también conocido como Step no.) o (9) title en una acción "stormtask" en index.php; el parámetro (10) title (también conocido como Project) en una cción "stormticket" en index.php; o (11) parámetros sin especificar en una acción "stormproject" en index.php. NOTA: algunos de estos detalles se han obtenido de información de terceros • http://archives.neohapsis.com/archives/fulldisclosure/2010-05/0160.html http://drupal.org/node/803770 http://secunia.com/advisories/39732 http://www.osvdb.org/64616 http://www.securityfocus.com/bid/40288 https://exchange.xforce.ibmcloud.com/vulnerabilities/58717 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-2125
https://notcve.org/view.php?id=CVE-2010-2125
Multiple cross-site scripting (XSS) vulnerabilities in the Rotor Banner module 5.x before 5.x-1.8 and 6.x before 6.x-2.5 for Drupal allow remote authenticated users, with "create rotor item" or "edit any rotor item" privileges, to inject arbitrary web script or HTML via the (1) srs, (2) title, or (3) alt image attribute. Multiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Rotor Banner v5.x anterior a v5.x-1.8 y v6.x anterior a v6.x-2.5 para Drupal permite a usuarios autenticados remotamente, con privilegios "create rotor item" o "edit any rotor item", inyectar código web o HTML de su elección a través de los siguientes atributos de imagen (1) src, (2) title, or (3) alt • http://drupal.org/node/803930 http://secunia.com/advisories/39883 http://www.osvdb.org/64770 https://exchange.xforce.ibmcloud.com/vulnerabilities/58719 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •