CVSS: 6.8EPSS: 0%CPEs: 10EXPL: 0CVE-2012-4486
https://notcve.org/view.php?id=CVE-2012-4486
Cross-site request forgery (CSRF) vulnerability in the Subuser module before 6.x-1.8 for Drupal allows remote attackers to hijack the authentication of arbitrary users for requests that switch the user to a subuser via unspecified vectors. Una vulnerabilidad de Falsificación de petición en sitios cruzados (CSRF) en el módulo Subuser antes de v6.x-1.8 para Drupal permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para las solicitudes que se cambian el rol de un usuario al de un subusuario a través de vectores no especificados. • http://drupal.org/node/1700550 http://drupal.org/node/1700584 http://www.openwall.com/lists/oss-security/2012/10/04/6 http://www.openwall.com/lists/oss-security/2012/10/07/1 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.0EPSS: 0%CPEs: 10EXPL: 0CVE-2012-4487
https://notcve.org/view.php?id=CVE-2012-4487
The Subuser module before 6.x-1.8 for Drupal does not properly check "switch subuser" permissions, which allows remote authenticated parent users to change their role by switching to a subuser they created. El módulo Subuser antes de v6.x-1.8 para Drupal no comprueba correctamente los permisos "switch subuser", lo que permite cambiar su rol a usuarios remotos autenticados por el de un subusuario que éste haya creado. • http://drupal.org/node/1700550 http://drupal.org/node/1700584 http://www.openwall.com/lists/oss-security/2012/10/04/6 http://www.openwall.com/lists/oss-security/2012/10/07/1 • CWE-264: Permissions, Privileges, and Access Controls •