Page 70 of 402 results (0.028 seconds)

CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0

Cross-site scripting (XSS) vulnerability in Advanced Forum 5.x before 5.x-1.1 and 6.x before 6.x-1.1, a module for Drupal, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Advanced Forum v5.x anteriores a v5.x-1.1 y v6.x anteriores a v6.x-1.1, un modulo de Drupal permite a los atacantes remotos inyectar código web o HTM a través de vectores no especificados. • http://drupal.org/node/507526 http://drupal.org/node/507550 http://drupal.org/node/507580 http://osvdb.org/55521 http://secunia.com/advisories/35678 http://secunia.com/advisories/35682 http://www.vupen.com/english/advisories/2009/1769 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0

Advanced Forum 6.x before 6.x-1.1, a module for Drupal, does not prevent users from modifying user signatures after the associated comment format has been changed to an administrator-controlled input format, which allows remote authenticated users to inject arbitrary web script, HTML, and possibly PHP code via a crafted user signature. Advanced Forum v6.x anteriores a v6.x-1.1, un módulo de Drupal, no impide a los usuarios modificar sus firmas después de que el formato comentado asociado ha sido cambiado a un formato de entrada controlado por administrador, que permite a usuarios autentificados remotamente inyectar codigo web, HTML y posiblemente código PHP, a su elección, a través de la firma Crafted user. • http://drupal.org/node/507526 http://drupal.org/node/507580 http://osvdb.org/55522 http://secunia.com/advisories/35678 http://www.vupen.com/english/advisories/2009/1769 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Drupal 6.x before 6.13 does not prevent users from modifying user signatures after the associated comment format has been changed to an administrator-controlled input format, which allows remote authenticated users to inject arbitrary web script, HTML, and possibly PHP code via a crafted user signature. Drupal v.6x anteriores a v.6.13 no impide a los usuarios modificar sus firmas después de que el formato comentado asociado ha sido cambiado a un formato de entrada controlado por administrador, que permite a usuarios autentificados remotamente inyectar codigo web, HTML y posiblemente código PHP, a su elección, a través de la firma Crafted user. • http://drupal.org/node/507572 http://osvdb.org/55525 http://secunia.com/advisories/35681 http://www.securitytracker.com/id?1022497 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

Drupal 5.x before 5.19 and 6.x before 6.13 does not properly sanitize failed login attempts for pages that contain a sortable table, which includes the username and password in links that can be read from (1) the HTTP referer header of external web sites that are visited from those links or (2) when page caching is enabled, the Drupal page cache. Drupal v.5.x anteriores a v.5.19 y 6.x anteriores a v.6.13 no limpian adecuadamente el intento de acceso fallido a páginas que contienen tablas ordenadas,que incluyen el nombre de usuario y contraseña que puede ser leidas desde (1) la cabecera referida a HTTP de sitios web externos que son visitados desde estos enlaces o (2) cuando la página es activado, la pagina cache Drupal. • http://drupal.org/node/507572 http://osvdb.org/55524 http://secunia.com/advisories/35657 http://secunia.com/advisories/35681 • CWE-255: Credentials Management Errors •

CVSS: 6.8EPSS: 0%CPEs: 8EXPL: 0

Unspecified vulnerability in LoginToboggan 6.x-1.x before 6.x-1.5, a module for Drupal, when "Allow users to login using their e-mail address" is enabled, allows remote blocked users to bypass intended access restrictions via unspecified vectors. Vulnerabilidad sin especificar en el módulo para Drupal LoginToboggan v6.x-1.x anterior a v6.x-1.5, cuando "Se permite el login de usuarios usando la dirección de correo electrónico", permite a usuarios remotos bloqueados evitar las restricciones de acceso a través de vectores no especificados. • http://drupal.org/node/461662 http://drupal.org/node/461682 http://secunia.com/advisories/35081 http://www.osvdb.org/54428 http://www.securityfocus.com/bid/34945 http://www.vupen.com/english/advisories/2009/1312 • CWE-264: Permissions, Privileges, and Access Controls •