CVE-2011-1664
https://notcve.org/view.php?id=CVE-2011-1664
Cross-site request forgery (CSRF) vulnerability in the Translation Management module 6.x before 6.x-1.21 for Drupal allows remote attackers to hijack the authentication of unspecified victims via unknown vectors. Una vulnerabilidad de tipo Cross-site request forgery (CSRF) en el módulo Translation Management versiones 6.x anteriores a 6.x-1.21 para Drupal, permite a atacantes remotos secuestrar la autenticación de víctimas no especificadas por medio de vectores desconocidos. • http://drupal.org/node/1111174 http://secunia.com/advisories/43950 https://exchange.xforce.ibmcloud.com/vulnerabilities/66477 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2010-4775
https://notcve.org/view.php?id=CVE-2010-4775
The Relevant Content module 5.x before 5.x-1.4 and 6.x before 6.x-1.5 for Drupal does not properly implement node access logic, which allows remote attackers to discover restricted node titles and relationships. El módulo Relevant Content v5.x anteriores a v5.x-1.4 y v6.x anteriores a v6.x-1.5 para Drupal no aplica adecuadamente la lógica de acceso a nodo, lo que permite a atacantes remotos a descubrir títulos de nodos restringidos y relaciones. • http://drupal.org/node/974668 http://drupal.org/node/974672 http://drupal.org/node/975094 http://osvdb.org/69368 http://secunia.com/advisories/42228 http://www.securityfocus.com/bid/44932 https://exchange.xforce.ibmcloud.com/vulnerabilities/63331 • CWE-20: Improper Input Validation •
CVE-2011-1066
https://notcve.org/view.php?id=CVE-2011-1066
Cross-site scripting (XSS) vulnerability in the Messaging module 6.x-2.x before 6.x-2.4 and 6.x-4.x before 6.x-4.0-beta8 for Drupal allows remote attackers with administer messaging permissions to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Messaging para Drupal v6.x-2.x anterior a v6.x-2.4 y v6.x-4.x anterior a v6.x-4.0-beta8 permite a atacantes remotos con permisos de administración de mensajería para inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://drupal.org/node/1064024 http://osvdb.org/70933 http://secunia.com/advisories/43385 http://www.securityfocus.com/bid/46438 https://exchange.xforce.ibmcloud.com/vulnerabilities/65449 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-0899
https://notcve.org/view.php?id=CVE-2011-0899
The AES encryption module 7.x-1.4 for Drupal leaves certain debugging code enabled in release, which records the plaintext password of the last logged-in user and allows remote attackers to gain privileges as that user. El módulo de encriptación AES v7.x-1.4 para Drupal deja cierto código habilitado en la depuración de la versión, registra en texto plano la contraseña del último usuario logueado y permite a atacantes remotos obtener privilegios como ese usuario. • http://drupal.org/node/1040728 http://drupal.org/node/1048998 http://osvdb.org/70767 http://secunia.com/advisories/43185 http://www.securityfocus.com/bid/46116 https://exchange.xforce.ibmcloud.com/vulnerabilities/65112 •
CVE-2011-0771
https://notcve.org/view.php?id=CVE-2011-0771
The Janrain Engage (formerly RPX) module 6.x-1.3 for Drupal does not validate the file for a profile image, which allows remote authenticated users to conduct cross-site scripting (XSS) attacks and possibly execute arbitrary PHP code by causing a crafted avatar to be downloaded from an external login provider site. El módulo Janrain Engage (anteriormente RPX) versiones 6.x hasta 1.3 para Drupal, no comprueba el archivo para una imagen de perfil, lo que permite a los usuarios identificados remotos conducir ataques de tipo cross-site scripting (XSS) y posiblemente ejecutar código PHP arbitrario para causar que un avatar especialmente diseñado se descargue desde un sitio de proveedor de inicio de sesión externo. • http://drupal.org/node/1033154 http://osvdb.org/70623 http://secunia.com/advisories/42980 http://www.securityfocus.com/bid/45926 https://exchange.xforce.ibmcloud.com/vulnerabilities/64847 https://exchange.xforce.ibmcloud.com/vulnerabilities/64848 • CWE-20: Improper Input Validation •