CVSS: 8.1EPSS: 1%CPEs: 107EXPL: 0CVE-2016-3169
https://notcve.org/view.php?id=CVE-2016-3169
12 Apr 2016 — The User module in Drupal 6.x before 6.38 and 7.x before 7.43 allows remote attackers to gain privileges by leveraging contributed or custom code that calls the user_save function with an explicit category and loads all roles into the array. El módulo User en Drupal 6.x en versiones anteriores a 6.38 y 7.x en versiones anteriores a 7.43 permite a atacantes remotos obtener privilegios aprovechando código contribuido o personalizado que llama a la función user_save con una categoría explícita y carga todos lo... • http://www.debian.org/security/2016/dsa-3498 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.3EPSS: 0%CPEs: 94EXPL: 0CVE-2016-3170
https://notcve.org/view.php?id=CVE-2016-3170
12 Apr 2016 — The "have you forgotten your password" links in the User module in Drupal 7.x before 7.43 and 8.x before 8.0.4 allow remote attackers to obtain sensitive username information by leveraging a configuration that permits using an email address to login and a module that permits logging in. Los enlaces de "has olvidado tu contraseña" en el módulo User en Drupal 7.x en versiones anteriores a 7.43 y 8.x en versiones anteriores a 8.0.4 permiten a atacantes remotos obtener información sensible de nombre de usuario ... • http://www.debian.org/security/2016/dsa-3498 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.1EPSS: 8%CPEs: 102EXPL: 0CVE-2016-3171
https://notcve.org/view.php?id=CVE-2016-3171
12 Apr 2016 — Drupal 6.x before 6.38, when used with PHP before 5.4.45, 5.5.x before 5.5.29, or 5.6.x before 5.6.13, might allow remote attackers to execute arbitrary code via vectors related to session data truncation. Drupal 6.x en versiones anteriores a 6.38, cuando se utiliza con PHP en versiones anteriores a 5.4.45, 5.5.x en versiones anteriores a 5.5.29 o 5.6.x en versiones anteriores a 5.6.13, podría permitir a atacantes remotos ejecutar código arbitrario a través de vectores relacionados con el truncado de datos ... • http://www.debian.org/security/2016/dsa-3498 • CWE-19: Data Processing Errors •
CVSS: 7.5EPSS: 0%CPEs: 53EXPL: 0CVE-2015-3231 – Debian Security Advisory 3291-1
https://notcve.org/view.php?id=CVE-2015-3231
18 Jun 2015 — The Render cache system in Drupal 7.x before 7.38, when used to cache content by user role, allows remote authenticated users to obtain private content viewed by user 1 by reading the cache. El sistema de caché Render en Drupal 7.x anterior a 7.38, cuando se utiliza para cachear contenido por roles de usuario, permite a usuarios remotos autenticados obtener contenido privado visualizado por el usuario 1 mediante la lectura del caché. Several vulnerabilities were found in drupal7, a content management platfo... • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 53EXPL: 0CVE-2015-3232 – Debian Security Advisory 3291-1
https://notcve.org/view.php?id=CVE-2015-3232
18 Jun 2015 — Open redirect vulnerability in the Field UI module in Drupal 7.x before 7.38 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the destinations parameter. Vulnerabilidad de la redirección abierta en el módulo Field UI en Drupal 7.x anterior a 7.38 permite a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de una URL en el parámetro destinations. Several vulnerabilities were found in drupal7, a c... • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html •
CVSS: 9.8EPSS: 0%CPEs: 98EXPL: 0CVE-2015-3234 – Debian Security Advisory 3291-1
https://notcve.org/view.php?id=CVE-2015-3234
18 Jun 2015 — The OpenID module in Drupal 6.x before 6.36 and 7.x before 7.38 allows remote attackers to log into other users' accounts by leveraging an OpenID identity from certain providers, as demonstrated by the Verisign, LiveJournal, and StackExchange providers. El módulo OpenID en Drupal 6.x anterior a 6.36 y 7.x anterior a 7.38 permite a atacantes remotos iniciar sesión en las cuentas de otros usuarios mediante el aprovechamiento de una identidad OpenID de ciertos proveedores, tal y como fue demostrado por los pro... • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161261.html • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 96EXPL: 0CVE-2015-2749 – Mandriva Linux Security Advisory 2015-181
https://notcve.org/view.php?id=CVE-2015-2749
31 Mar 2015 — Open redirect vulnerability in Drupal 6.x before 6.35 and 7.x before 7.35 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the destination parameter. Una vulnerabilidad de redirección abierta en Drupal en las versiones 6.x anteriores a la 6.35 y 7.x anteriores a la 7.35 permite a atacantes remotos redirigir a los usuarios a páginas web arbitrarias y realizar ataques de phishing mediante una URL en el parámetro destination. Updated drupal packages fix... • http://cgit.drupalcode.org/drupal/commit/?id=d2304f840c43c190c6e136ee9901ed9797b4c3ca • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.1EPSS: 0%CPEs: 96EXPL: 0CVE-2015-2750 – Mandriva Linux Security Advisory 2015-181
https://notcve.org/view.php?id=CVE-2015-2750
31 Mar 2015 — Open redirect vulnerability in URL-related API functions in Drupal 6.x before 6.35 and 7.x before 7.35 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via vectors involving the "//" initial sequence. Una vulnerabilidad de redirección abierta en funciones de API relacionadas con URL en Drupal, en las versiones 6.x anteriores a la 6.35 y 7.x anteriores a la 7.35 permite a atacantes remotos redirigir a los usuarios a páginas web arbitrarias y realizar ataques de ph... • http://cgit.drupalcode.org/drupal/commit/includes/common.inc?h=7.x&id=b44056d2f8e8c71d35c85ec5c2fb8f7c8a02d8a8 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.0EPSS: 0%CPEs: 5EXPL: 0CVE-2014-2983 – Debian Security Advisory 2913-1
https://notcve.org/view.php?id=CVE-2014-2983
23 Apr 2014 — Drupal 6.x before 6.31 and 7.x before 7.27 does not properly isolate the cached data of different anonymous users, which allows remote anonymous users to obtain sensitive interim form input information in opportunistic situations via unspecified vectors. Drupal 6.x anterior a 6.31 y 7.x anterior a 7.27 no aísla debidamente los datos en caché de usuarios anónimos diferentes, lo que permite a usuarios remotos anónimos obtener información sensible de entradas de formularios parciales en situaciones oportunista... • http://www.debian.org/security/2014/dsa-2913 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.4EPSS: 0%CPEs: 25EXPL: 0CVE-2009-3652
https://notcve.org/view.php?id=CVE-2009-3652
09 Oct 2009 — Cross-site scripting (XSS) vulnerability in Organic Groups (OG) 5.x-7.x before 5.x-7.4, 5.x-8.x before 5.x-8.1, and 6.x-1.x before 6.x-1.4, a module for Drupal, allows remote authenticated users, with create or edit group nodes permissions, to inject arbitrary web script or HTML via the User-Agent HTTP header, a different issue than CVE-2008-3095. Una vulnerabilidad de Ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo de Drupal "Organic Groups (OG)" en sus versiones v5.x-7.x antes de... • http://drupal.org/node/592358 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •