CVSS: 2.1EPSS: 0%CPEs: 29EXPL: 0CVE-2012-5586
https://notcve.org/view.php?id=CVE-2012-5586
The Services module 6.x-3.x before 6.x-3.3 and 7.x-3.x before 7.x-3.3 for Drupal allows remote authenticated users with the "access user profiles" permission to access arbitrary users' emails via vectors related to the "user index method" and "the path to the user resource." El módulo Services v6.x-3.x antes de v6.x-3.3 y v7.x-3.x antes de v7.x-3.3 para Drupal permite a usuarios remotos autenticados con el permiso de "acceso a perfiles de usuario" para acceder a correos electrónicos de usuarios de su elección a través de vectores relacionados con el "método del índice de usuario" y "la ruta de acceso al recurso de usuario". • http://drupal.org/node/1842022 http://drupal.org/node/1842026 http://drupal.org/node/1853200 http://www.openwall.com/lists/oss-security/2012/11/29/2 http://www.securityfocus.com/bid/56723 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0CVE-2008-6910
https://notcve.org/view.php?id=CVE-2008-6910
Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not use timeouts for signed requests, which allows remote attackers to impersonate other users and gain privileges via a replay attack that sends the same request. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no emplea tiempos de espera para las peticiones firmadas, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios a través de un ataque de reproducción que envía la misma petición. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/52441 • CWE-310: Cryptographic Issues •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2008-6909
https://notcve.org/view.php?id=CVE-2008-6909
Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, does not sign all required data in requests, which has unspecified impact, probably related to man-in-the-middle attacks that modify critical data and allow remote attackers to impersonate other users and gain privileges. El Modulo Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13 para Drupal, no firma todos los datos necesarios en las peticiones, cuyo impacto se desconoce, probablemente relacionado con ataques de hombre-en-el-medio (man-in-the-middle)que modifican datos críticos y permiten a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 https://exchange.xforce.ibmcloud.com/vulnerabilities/52438 • CWE-310: Cryptographic Issues •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0CVE-2008-6908
https://notcve.org/view.php?id=CVE-2008-6908
Services 5.x before 5.x-0.92 and 6.x before 6.x-0.13, a module for Drupal, uses an insecure hash when signing requests, which allows remote attackers to impersonate other users and gain privileges. Services v5.x anterior a v5.x-0.92 y v6.x anterior a v6.x-0.13, un módulo de Drupal, utiliza un hash inseguro al firmar las solicitudes, lo que permite a atacantes remotos suplantar a otros usuarios y obtener privilegios. • http://drupal.org/node/348295 http://osvdb.org/50743 http://www.securityfocus.com/bid/32894 https://exchange.xforce.ibmcloud.com/vulnerabilities/47458 • CWE-310: Cryptographic Issues •