CVSS: 8.1EPSS: 0%CPEs: 63EXPL: 0CVE-2016-3162
https://notcve.org/view.php?id=CVE-2016-3162
The File module in Drupal 7.x before 7.43 and 8.x before 8.0.4 allows remote authenticated users to bypass access restrictions and read, delete, or substitute a link to a file uploaded to an unprocessed form by leveraging permission to create content or comment and upload files. El módulo File en Drupal 7.x en versiones anteriores a 7.43 y 8.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y leer, eliminar o sustituir un enlace a un archivo cargado en un formulario no procesado aprovechando el permiso para crear contenido o comentar y cargar archivos. • http://www.debian.org/security/2016/dsa-3498 http://www.openwall.com/lists/oss-security/2016/02/24/19 http://www.openwall.com/lists/oss-security/2016/03/15/10 https://www.drupal.org/SA-CORE-2016-001 • CWE-284: Improper Access Control •
CVSS: 8.5EPSS: 0%CPEs: 107EXPL: 0CVE-2016-3168
https://notcve.org/view.php?id=CVE-2016-3168
The System module in Drupal 6.x before 6.38 and 7.x before 7.43 might allow remote attackers to hijack the authentication of site administrators for requests that download and run files with arbitrary JSON-encoded content, aka a "reflected file download vulnerability." El módulo System en Drupal 6.x en versiones anteriores a 6.38 y 7.x en versiones anteriores a 7.43 podría permitir a atacantes remotos secuestrar la autenticación de los administradores del sitio para peticiones que descargan y ejecutan archivos con un contenido codificado-JSON arbitrario, también conocido como "vulnerabilidad de descarga de archivo reflejado". • http://www.debian.org/security/2016/dsa-3498 http://www.openwall.com/lists/oss-security/2016/02/24/19 http://www.openwall.com/lists/oss-security/2016/03/15/10 https://www.drupal.org/SA-CORE-2016-001 • CWE-254: 7PK - Security Features •
CVSS: 8.1EPSS: 0%CPEs: 107EXPL: 0CVE-2016-3169
https://notcve.org/view.php?id=CVE-2016-3169
The User module in Drupal 6.x before 6.38 and 7.x before 7.43 allows remote attackers to gain privileges by leveraging contributed or custom code that calls the user_save function with an explicit category and loads all roles into the array. El módulo User en Drupal 6.x en versiones anteriores a 6.38 y 7.x en versiones anteriores a 7.43 permite a atacantes remotos obtener privilegios aprovechando código contribuido o personalizado que llama a la función user_save con una categoría explícita y carga todos los roles en el array. • http://www.debian.org/security/2016/dsa-3498 http://www.openwall.com/lists/oss-security/2016/02/24/19 http://www.openwall.com/lists/oss-security/2016/03/15/10 https://www.drupal.org/SA-CORE-2016-001 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.4EPSS: 0%CPEs: 143EXPL: 0CVE-2016-3164
https://notcve.org/view.php?id=CVE-2016-3164
Drupal 6.x before 6.38, 7.x before 7.43, and 8.x before 8.0.4 might allow remote attackers to conduct open redirect attacks by leveraging (1) custom code or (2) a form shown on a 404 error page, related to path manipulation. Drupal 6.x en versiones anteriores a 6.38, 7.x en versiones anteriores a 7.43 y 8.x en versiones anteriores a 8.0.4 podría permitir a atacantes remotos llevar a cabo ataques de redirección abierta aprovechando (1) código personalizado o (2) un formulario mostrado en un página de error 404, relacionado con una manipulación de ruta. • http://www.debian.org/security/2016/dsa-3498 http://www.openwall.com/lists/oss-security/2016/02/24/19 http://www.openwall.com/lists/oss-security/2016/03/15/10 https://www.drupal.org/SA-CORE-2016-001 •
CVSS: 7.5EPSS: 0%CPEs: 106EXPL: 0CVE-2016-3163
https://notcve.org/view.php?id=CVE-2016-3163
The XML-RPC system in Drupal 6.x before 6.38 and 7.x before 7.43 might make it easier for remote attackers to conduct brute-force attacks via a large number of calls made at once to the same method. El sistema XML-RPC en Drupal 6.x en versiones anteriores a 6.38 y 7.x en versiones anteriores a 7.43 podría hacer más fácil para atacantes remotos llevar a cabo ataques de fuerza bruta a través de una gran cantidad de llamadas realizadas a la vez al mismo método. • http://www.debian.org/security/2016/dsa-3498 http://www.openwall.com/lists/oss-security/2016/02/24/19 http://www.openwall.com/lists/oss-security/2016/03/15/10 https://www.drupal.org/SA-CORE-2016-001 • CWE-254: 7PK - Security Features •