CVE-2011-0771
https://notcve.org/view.php?id=CVE-2011-0771
The Janrain Engage (formerly RPX) module 6.x-1.3 for Drupal does not validate the file for a profile image, which allows remote authenticated users to conduct cross-site scripting (XSS) attacks and possibly execute arbitrary PHP code by causing a crafted avatar to be downloaded from an external login provider site. El módulo Janrain Engage (anteriormente RPX) versiones 6.x hasta 1.3 para Drupal, no comprueba el archivo para una imagen de perfil, lo que permite a los usuarios identificados remotos conducir ataques de tipo cross-site scripting (XSS) y posiblemente ejecutar código PHP arbitrario para causar que un avatar especialmente diseñado se descargue desde un sitio de proveedor de inicio de sesión externo. • http://drupal.org/node/1033154 http://osvdb.org/70623 http://secunia.com/advisories/42980 http://www.securityfocus.com/bid/45926 https://exchange.xforce.ibmcloud.com/vulnerabilities/64847 https://exchange.xforce.ibmcloud.com/vulnerabilities/64848 • CWE-20: Improper Input Validation •
CVE-2010-4520
https://notcve.org/view.php?id=CVE-2010-4520
Multiple cross-site scripting (XSS) vulnerabilities in the Views module 6.x before 6.x-2.11 for Drupal allow remote attackers to inject arbitrary web script or HTML via (1) a URL or (2) an aggregator feed title. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el módulo Views v6.x anterior v6.x-2.11 para Drupal permite a atacantes remotos inyectar código web o HTML de su elección a través del título (1) una URL o (2)un título aggregator • http://drupal.org/node/829840 http://www.openwall.com/lists/oss-security/2010/12/16/7 http://www.openwall.com/lists/oss-security/2010/12/22/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-4521
https://notcve.org/view.php?id=CVE-2010-4521
Cross-site scripting (XSS) vulnerability in the Views module 6.x before 6.x-2.12 for Drupal allows remote attackers to inject arbitrary web script or HTML via a page path. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Views v6.x anterior v6.x-2.12 para Drupal permite a atacantes remotos inyectar código web y HTML de su elección a través de la ruta de página. • http://drupal.org/node/999380 http://lists.fedoraproject.org/pipermail/package-announce/2011-January/052802.html http://lists.fedoraproject.org/pipermail/package-announce/2011-January/052814.html http://www.openwall.com/lists/oss-security/2010/12/16/7 http://www.openwall.com/lists/oss-security/2010/12/22/1 http://www.vupen.com/english/advisories/2011/0011 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-4519
https://notcve.org/view.php?id=CVE-2010-4519
Multiple cross-site request forgery (CSRF) vulnerabilities in the Views UI implementation in the Views module 5.x before 5.x-1.8 and 6.x before 6.x-2.11 for Drupal allow remote attackers to hijack the authentication of administrators for requests that (1) enable all Views or (2) disable all Views. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en la implementación de Views UI en el módulo Views v5.x anterior v5.x-1.8 y v6.x anterior v6.x-2.11 para Drupal permite a atacantes remotos secuestar la autenticación de administradores para peticiones que (1) activa todas las Views (2) inactiva todas Views. • http://drupal.org/node/829840 http://www.openwall.com/lists/oss-security/2010/12/16/7 http://www.openwall.com/lists/oss-security/2010/12/22/1 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2010-3685
https://notcve.org/view.php?id=CVE-2010-3685
The OpenID module in Drupal 6.x before 6.18, and the OpenID module 5.x before 5.x-1.4 for Drupal, violates the OpenID 2.0 protocol by not checking for reuse of openid.response_nonce values, which allows remote attackers to bypass authentication by leveraging an assertion from an OpenID provider. El módulo de OpenID en Drupal v6.x antes de v6.18, y el módulo de OpenID v5.x antes de v5.x-1.4 para Drupal, viola el protocolo OpenID v2.0, al no comprobar la reutilización de los valores openid.response_nonce, lo cual permite a atacantes remotos evitar la autenticación mediante el aprovechamiento de una afirmación de un proveedor de OpenID. • http://drupal.org/node/880476 http://drupal.org/node/880480 http://marc.info/?l=oss-security&m=128418560705305&w=2 http://marc.info/?l=oss-security&m=128440896914512&w=2 http://www.debian.org/security/2010/dsa-2113 http://www.securityfocus.com/bid/42388 • CWE-287: Improper Authentication •