CVSS: 6.0EPSS: 0%CPEs: 35EXPL: 0CVE-2012-1057
https://notcve.org/view.php?id=CVE-2012-1057
Cross-site request forgery (CSRF) vulnerability in the clickthrough tracking functionality in the Forward module 6.x-1.x before 6.x-1.21 and 7.x-1.x before 7.x-1.3 for Drupal allows remote attackers to hijack the authentication of administrators for requests that increase node rankings via the tracking code, possibly related to improper "flood control." Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en la funcionalidad 'clickthrough tracking' en el módulo Forward v6.x-1.x anterior a v6.x-1.21 y v7.x-1.x anterior a v7.x-1.3 para Drupal permite a atacantes remotos secuestras la autenticación para administradores para peticiones de incremento de la clasificación del nodo a través de un código de seguimiento, posiblemente relacionado con un control incorrecto. • http://drupal.org/node/1423722 http://drupal.org/node/1425150 http://drupalcode.org/project/forward.git/commitdiff/72158fdbfbf5a068938985e3d10ce1d8f969d9c3 http://osvdb.org/78817 http://secunia.com/advisories/47851 http://www.securityfocus.com/bid/51826 https://exchange.xforce.ibmcloud.com/vulnerabilities/72922 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 0CVE-2012-0914
https://notcve.org/view.php?id=CVE-2012-0914
Cross-site scripting (XSS) vulnerability in display_renderers/panels_renderer_editor.class.php in the admin view in the Panels module 6.x-2.x before 6.x-3.10 and 7.x-3.x before 7.x-3.0 for Drupal allows remote authenticated users with certain privileges to inject arbitrary web script or HTML via the Region title. Vulnerbilidad de ejecución de secuencias de comandos web en sitios cruzados (XSS) en display_renderers/panels_renderer_editor.class.php en la vista de administración en el módulo Panels v6.x-2.x anterior a v6.x-3.10 y v7.x-3.x anterior v7.x-3.0 para Drupal permite a usuarios autenticados de forma remota con ciertos privilegios inyectar código web script de su elección o HTML a través del 'title' Region. • http://drupal.org/node/1409436 http://drupal.org/node/1409446 http://drupal.org/node/1409448 http://drupalcode.org/project/panels.git/commit/2066d59 http://drupalcode.org/project/panels.git/commit/d844942 http://osvdb.org/78367 http://secunia.com/advisories/47649 http://www.madirish.net/content/drupal-panels-6x-39-xss-vulnerability http://www.securityfocus.com/bid/51568 https://exchange.xforce.ibmcloud.com/vulnerabilities/72549 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 0CVE-2011-5030
https://notcve.org/view.php?id=CVE-2011-5030
Cross-site scripting (XSS) vulnerability in the Meta tags quick module 7.x-2.x before 7.x-2.3 for Drupal allows remote authenticated users with certain permissions to inject arbitrary web script or HTML via unspecified vectors, probably related to "names of entity bundles." Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS)en Meta tags módulo rápido v7.x-2.x anterior a v7.x-2.3 para Drupal permite a usuarios remotos autenticados con permisos específicos inyectar secuencias de comandos web o HTML a través de vectores no especificados, probablemente relacionados con "nombres de los paquetes de la entidad." • http://drupal.org/node/1370878 http://drupal.org/node/1370934 http://osvdb.org/77740 http://secunia.com/advisories/47249 https://exchange.xforce.ibmcloud.com/vulnerabilities/71845 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 12EXPL: 0CVE-2011-4560
https://notcve.org/view.php?id=CVE-2011-4560
Cross-site scripting (XSS) vulnerability in the Petition Node module 6.x-1.x before 6.x-1.5 for Drupal allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors related to signing a petition. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo para Drupal 'Petition Node' v6.x-1.x antes de v6.x-1.5 permite a usuarios remotos autenticados inyectar HTML o secuencias de comandos web a través de vectores no especificados relacionados con la firma de una petición. • http://drupal.org/node/1300238 http://osvdb.org/76094 http://secunia.com/advisories/46333 http://www.securityfocus.com/bid/49982 https://exchange.xforce.ibmcloud.com/vulnerabilities/70342 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3730
https://notcve.org/view.php?id=CVE-2011-3730
Drupal 7.0 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by modules/simpletest/tests/upgrade/drupal-6.upload.database.php and certain other files. Drupal v7.0 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con modules/simpletest/tests/upgrade/drupal-6.upload.database.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/drupal-7.0 http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •