CVSS: 2.1EPSS: 0%CPEs: 6EXPL: 0CVE-2015-5513
https://notcve.org/view.php?id=CVE-2015-5513
Cross-site scripting (XSS) vulnerability in the Shibboleth authentication module 6.x-4.x before 6.x-4.2 and 7.x-4.x before 7.x-4.2 for Drupal allows remote authenticated users with the "Administer blocks" permission to inject arbitrary web script or HTML via unspecified vectors related to a login link. Vulnerabilidad de XSS en el módulo de autenticación Shibboleth 6.x-4.x en versiones anteriores a 6.x-4.2 y 7.x-4.x en versiones anteriores a 7.x-4.2 para Drupal, permite a usuarios remotos autenticados con los permisos de 'Administer blocks' inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados relacionados con un enlace de login. • http://www.openwall.com/lists/oss-security/2015/07/04/4 https://www.drupal.org/node/2511278 https://www.drupal.org/node/2511280 https://www.drupal.org/node/2511518 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2015-3375
https://notcve.org/view.php?id=CVE-2015-3375
Cross-site request forgery (CSRF) vulnerability in the Shibboleth Authentication module before 6.x-4.1 and 7.x-4.x before 7.x-4.1 for Drupal allows remote attackers to hijack the authentication of administrators for requests that delete user role matching rules via unspecified vectors. Vulnerabilidad de CSRF en el módulo Shibboleth Authentication anterior a 6.x-4.1 y 7.x-4.x anterior a 7.x-4.1 para Drupal permite a atacantes remotos secuestrar la autenticación de administradores para solicitudes que eliminan las reglas de las coincidencias de los roles de usuarios a través de vectores no especificados. • http://www.openwall.com/lists/oss-security/2015/01/29/6 http://www.securityfocus.com/bid/74276 https://www.drupal.org/node/2411269 https://www.drupal.org/node/2411271 https://www.drupal.org/node/2411737 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4494
https://notcve.org/view.php?id=CVE-2012-4494
The Shibboleth authentication module 7.x-4.0 for Drupal does not properly check the active status of users, which allows remote blocked users to access bypass intended access restrictions and possibly have other impacts by logging in. El módulo de autenticación Shibboleth v7.x-4.0 para Drupal no comprueba correctamente la condición activa de los usuarios, lo que permite a usuarios remotos bloqueados eludir las restricciones de acceso y posiblemente tener otro impacto por el acceso. • http://drupal.org/node/1493244 http://drupal.org/node/1719392 http://drupalcode.org/project/shib_auth.git/commitdiff/2032f0a http://www.openwall.com/lists/oss-security/2012/10/04/6 http://www.openwall.com/lists/oss-security/2012/10/07/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.6EPSS: 0%CPEs: 18EXPL: 0CVE-2009-4527
https://notcve.org/view.php?id=CVE-2009-4527
The Shibboleth authentication module 5.x before 5.x-3.4 and 6.x before 6.x-3.2, a module for Drupal, does not properly remove statically granted privileges after a logout or other session change, which allows physically proximate attackers to gain privileges by using an unattended web browser. El módulo de autenticación Shibboleth v5.x anterior a v5.x-3.4 y v6.x anterior a v6.x-3.2, un módulo para Drupal, no elimina adecuadamente los privilegios otorgados estáticamente después un cierre de sesión u otro cambio de sesión, lo que permite a atacantes próximos físicamente obtener privilegios utilizando un navegador web desatendido. • http://drupal.org/node/604488 http://secunia.com/advisories/37057 http://www.securityfocus.com/bid/36684 http://www.vupen.com/english/advisories/2009/2919 https://exchange.xforce.ibmcloud.com/vulnerabilities/53779 • CWE-264: Permissions, Privileges, and Access Controls •