CVSS: 3.5EPSS: 0%CPEs: 32EXPL: 0CVE-2009-3206
https://notcve.org/view.php?id=CVE-2009-3206
Multiple cross-site scripting (XSS) vulnerabilities in the ImageCache module 5.x before 5.x-2.5 and 6.x before 6.x-2.0-beta10, a module for Drupal, allow remote authenticated users, with "administer imagecache" permissions, to inject arbitrary web script or HTML via unspecified vectors. Multiple vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el módulo ImageCache v5.x anterior v5.x-2.5 y v6.x anterior v6.x-2.0-beta10, un módulo para Drupal, permite a usuarios autentificados remotamente, con permisos "administer imagecache", inyectar código web y HTML de su elección a través de vectores no especificados. • http://drupal.org/node/554084 http://secunia.com/advisories/36412 https://exchange.xforce.ibmcloud.com/vulnerabilities/52594 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 2%CPEs: 32EXPL: 1CVE-2009-3207
https://notcve.org/view.php?id=CVE-2009-3207
The ImageCache module 5.x before 5.x-2.5 and 6.x before 6.x-2.0-beta10, a module for Drupal, when the private file system is used, does not properly perform access control for derivative images, which allows remote attackers to view arbitrary images via a request that specifies an image's filename. El módulo ImageCache v5.x anterior v5.x-2.5 y v6.x anterior v6.x-2.0-beta10, un modulo para Drupal, cuando el sistema de archivos privados es usado, no realiza un control de acceso para imágenes derivadas, lo que permite a atacantes remotos ver imágenes a su elección a través de peticiones que especifican el nombre de la imagen. • http://drupal.org/node/505904 http://drupal.org/node/554084 http://drupal.org/node/554086 http://drupal.org/node/554090 http://secunia.com/advisories/36412 https://exchange.xforce.ibmcloud.com/vulnerabilities/52595 • CWE-264: Permissions, Privileges, and Access Controls •