CVSS: 7.5EPSS: 0%CPEs: 53EXPL: 0CVE-2012-5654
https://notcve.org/view.php?id=CVE-2012-5654
03 Jan 2013 — The Nodewords: D6 Meta Tags module before 6.x-1.14 for Drupal, when configured to automatically generate description meta tags from node text, does not properly filter node content when creating tags, which might allow remote attackers to obtain sensitive information by reading the (1) description, (2) dc.description or (3) og:description meta tags. El módulo Nodewords: D6 Meta Tags antes de v6.x-1.14 para Drupal, cuando se configura para generar automáticamente las etiquetas meta descripción de texto del n... • http://drupal.org/node/1859208 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 24EXPL: 1CVE-2012-5655
https://notcve.org/view.php?id=CVE-2012-5655
03 Jan 2013 — The Context module 6.x-3.x before 6.x-3.1 and 7.x-3.x before 7.x-3.0-beta6 for Drupal does not properly restrict access to block content, which allows remote attackers to obtain sensitive information via a crafted request. El módulo Context v6.x-3.x antes de v6.x-3.1 y v7.x-3.x antes de v7.x-3.0-beta6 para Drupal no restringe adecuadamente el acceso para bloquear el contenido, lo que permite a atacantes remotos obtener información sensible a través de una petición modificada. • http://drupal.org/node/1870550 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 0CVE-2012-5584
https://notcve.org/view.php?id=CVE-2012-5584
26 Dec 2012 — The Table of Contents module 6.x-3.x before 6.x-3.8 for Drupal does not properly check node permissions, which allows remote attackers to read a node's headers by accessing a table of contents block. El módulo Table of Contents (Tabla de Contenidos) v6.x antes de v6.x-3.8-3.x para Drupal no comprueba correctamente los permisos del nodo, lo que permite a atacantes remotos leer los encabezados de un nodo accediendo a una tabla de bloques de contenido. • http://drupal.org/node/1841026 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2012-5585
https://notcve.org/view.php?id=CVE-2012-5585
26 Dec 2012 — Cross-site scripting (XSS) vulnerability in the Mixpanel module 6.x-1.x before 6.x-1.1 in Drupal allows remote authenticated users with the "access administration pages" permission to inject arbitrary web script or HTML via the Maxpanel token. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Mixpanel v6.x-1.x antes de v6.x-1.1 en Drupal permite inyectar secuencias de comandos web o HTML a usuarios remotos autenticados con permiso de "acceso páginas de administración" a travé... • http://drupal.org/node/1762886 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 29EXPL: 0CVE-2012-5586
https://notcve.org/view.php?id=CVE-2012-5586
26 Dec 2012 — The Services module 6.x-3.x before 6.x-3.3 and 7.x-3.x before 7.x-3.3 for Drupal allows remote authenticated users with the "access user profiles" permission to access arbitrary users' emails via vectors related to the "user index method" and "the path to the user resource." El módulo Services v6.x-3.x antes de v6.x-3.3 y v7.x-3.x antes de v7.x-3.3 para Drupal permite a usuarios remotos autenticados con el permiso de "acceso a perfiles de usuario" para acceder a correos electrónicos de usuarios de su elecci... • http://drupal.org/node/1842022 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2012-5587
https://notcve.org/view.php?id=CVE-2012-5587
26 Dec 2012 — Cross-site scripting (XSS) vulnerability in the Email Field module 6.x-1.x before 6.x-1.3 for Drupal allows remote attackers to inject arbitrary web script or HTML via the mailto link. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo Email Field v6.x-1.x antes de v6.x-1.3 para Drupal permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del enlace de correo 'mailto'. • http://drupal.org/node/1852612 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2012-5588
https://notcve.org/view.php?id=CVE-2012-5588
26 Dec 2012 — The Email Field module 6.x-1.x before 6.x-1.3 for Drupal, when using a field permission module and the field contact field formatter is set to the full or teaser display mode, does not properly check permissions, which allows remote attackers to email the stored address via unspecified vectors. El módulo Email Field v6.x-1.x antes de v6.x-1.3 para Drupal, cuando se utiliza un módulo de permisos de campos y el formateador de campos de contacto esta puesto a modo de pantalla completa o teaser, no comprueba co... • http://drupal.org/node/1852612 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 10EXPL: 0CVE-2012-5589
https://notcve.org/view.php?id=CVE-2012-5589
26 Dec 2012 — The MultiLink module 6.x-2.x before 6.x-2.7 and 7.x-2.x before 7.x-2.7 for Drupal does not properly check node permissions when generating an in-content link, which allows remote authenticated users with text-editing permissions to read arbitrary node titles via a generated link. El módulo MultiLink v6.x-2.x antes de v6.x-2.7 y v7.x-2.x antes de v7.x-2.7 para Drupal no comprueba correctamente los permisos de los nodos cuando se genera un enlace en el contenido, lo que permite leer los títulos de nodos de su... • http://drupal.org/node/1289292 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 26EXPL: 0CVE-2012-5591
https://notcve.org/view.php?id=CVE-2012-5591
26 Dec 2012 — Cross-site scripting (XSS) vulnerability in the Zero Point module 6.x-1.x before 6.x-1.18 and 7.x-1.x before 7.x-1.4 for Drupal allows remote attackers to inject arbitrary web script or HTML via the path aliases. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en el módulo de Zero Point v6.x-1.x antes de v6.x-1.18 y v7.x-1.x antes de v7.x-1.4 para Drupal permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de los alias de ruta. • http://drupal.org/node/1853350 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2012-5537
https://notcve.org/view.php?id=CVE-2012-5537
03 Dec 2012 — The Simplenews Scheduler module 6.x-2.x before 6.x-2.4 for Drupal allows remote authenticated users with the "send scheduled newsletters" permission to inject arbitrary PHP code into the scheduling form, which is later executed by cron. El módulo Simplenews Scheduler v6.x-2.x antes de v6.x-2.4 para Drupal permite a usuarios remotos autenticados con el permiso "envío de boletines programados", inyectar código PHP arbitrario en el formulario de programación, que es posteriormente ejecutado por cron. • http://drupal.org/node/1789274 • CWE-94: Improper Control of Generation of Code ('Code Injection') •