5 results (0.004 seconds)

CVSS: 2.1EPSS: 0%CPEs: 51EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in the Storm module 5.x and 6.x before 6.x-1.33 for Drupal allow remote authenticated users, with certain module privileges, to inject arbitrary web script or HTML via the (1) fullname, (2) phone, or (3) im parameter in a stormperson action to index.php. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Multiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Storm v5.x y v6.x anterior a v6.x-1.33 para Drupal permite a usuarios autenticados remotamente, con ciertos privilegios del módulo, inyectar código web o HTML a través de los parámetros (1) fullname, (2) phone, o (3) im en una acción "stormperson" en index.php. NOTA: el origen de esta información es desconocido. Los detalles han sido obtenidos a partir de terceros. • http://drupal.org/node/803770 http://secunia.com/advisories/39732 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 2.1EPSS: 0%CPEs: 51EXPL: 1

Multiple cross-site scripting (XSS) vulnerabilities in the Storm module 5.x and 6.x before 6.x-1.33 for Drupal allow remote authenticated users, with certain module privileges, to inject arbitrary web script or HTML via the (1) fullname, (2) address, (3) city, (4) provstate (aka state), (5) phone, or (6) taxid parameter in a stormorganization action to index.php; the (7) name parameter in a stormperson action to index.php; the (8) stepno (aka Step no.) or (9) title parameter in a stormtask action to index.php; the (10) title (aka Project) parameter in a stormticket action to index.php; or (11) unspecified parameters in a stormproject action to index.php. NOTE: some of these details are obtained from third party information. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Storm v5.x y v6.x anterior a v6.x-1.33para Drupal permite a usuarios autenticados remotamente, con ciertos privilegios del módulo, inyectar código web o HTML a través de los parámetros (1) fullname, (2) address, (3) city, (4) provstate (también conocido como state), (5) phone, o (6) taxid en una acción "stormorganization" en index.php; el parámetro (7) name en una acción "stormperson" en index.php; los parámetros (8) stepno (también conocido como Step no.) o (9) title en una acción "stormtask" en index.php; el parámetro (10) title (también conocido como Project) en una cción "stormticket" en index.php; o (11) parámetros sin especificar en una acción "stormproject" en index.php. NOTA: algunos de estos detalles se han obtenido de información de terceros • http://archives.neohapsis.com/archives/fulldisclosure/2010-05/0160.html http://drupal.org/node/803770 http://secunia.com/advisories/39732 http://www.osvdb.org/64616 http://www.securityfocus.com/bid/40288 https://exchange.xforce.ibmcloud.com/vulnerabilities/58717 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 27EXPL: 0

The Storm module 6.x before 6.x-1.25 for Drupal does not enforce privilege requirements for storminvoiceitem nodes, which allows remote attackers to read node titles via unspecified vectors. El módulo Storm v6.x anterior a v6.x-1.25 para Drupal, no refuerza los requisitos de privilegios para los nodos storminvoiceitem; esto permite a atacantes remotos leer los títulos de los nodos a través de vectores no especificados. • http://drupal.org/node/617480 http://drupal.org/node/617494 http://secunia.com/advisories/37202 http://www.securityfocus.com/bid/36879 http://www.vupen.com/english/advisories/2009/3090 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 7.5EPSS: 4%CPEs: 1EXPL: 1

Multiple PHP remote file inclusion vulnerabilities in SpeedTech PHP Library (STPHPLibrary) 0.8.0 allow remote attackers to execute arbitrary PHP code via a URL in the STPHPLIB_DIR parameter to (1) stphpapplication.php, (2) stphpbtnimage.php, or (3) stphpform.php. Múltiples vulnerabilidades de inclusión remota de archivo en PHP en el SpeedTech PHP Library (STPHPLibrary) 0.8.0 permiten a atacantes remotos ejecutar código PHP de su elección mediante una URL en el parámetro STPHPLIB_DIR en el 1) stphpapplication.php, (2) stphpbtnimage.php o (3) stphpform.php. • https://www.exploit-db.com/exploits/4358 http://osvdb.org/38929 http://osvdb.org/38930 http://osvdb.org/38931 http://secunia.com/advisories/26658 http://www.securityfocus.com/bid/25525 http://www.vupen.com/english/advisories/2007/3092 https://exchange.xforce.ibmcloud.com/vulnerabilities/36416 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 7.5EPSS: 34%CPEs: 1EXPL: 1

Multiple PHP remote file inclusion vulnerabilities in SpeedTech PHP Library (STPHPLibrary) 0.8.0 allow remote attackers to execute arbitrary PHP code via a URL in the (1) db_conf or (2) ADODB_DIR parameter to utils/stphpimage_show.php; or a URL in the STPHPLIB_DIR parameter to (3) stphpbutton.php, (4) stphpcheckbox.php, (5) stphpcheckboxwithcaption.php, (6) stphpcheckgroup.php, (7) stphpcomponent.php, (8) stphpcontrolwithcaption.php, (9) stphpedit.php, (10) stphpeditwithcaption.php, (11) stphphr.php, (12) stphpimage.php, (13) stphpimagewithcaption.php, (14) stphplabel.php, (15) stphplistbox.php, (16) stphplistboxwithcaption.php, (17) stphplocale.php, (18) stphppanel.php, (19) stphpradiobutton.php, (20) stphpradiobuttonwithcaption.php, (21) stphpradiogroup.php, (22) stphprichbutton.php, (23) stphpspacer.php, (24) stphptable.php, (25) stphptablecell.php, (26) stphptablerow.php, (27) stphptabpanel.php, (28) stphptabtitle.php, (29) stphptextarea.php, (30) stphptextareawithcaption.php, (31) stphptoolbar.php, (32) stphpwindow.php, (33) stphpxmldoc.php, or (34) stphpxmlelement.php, a different set of vectors than CVE-2007-4737. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Múltiples vulnerabilidades de inclusión remota de archivos PHP en SpeedTech PHP Library (STPHPLibrary) versión 0.8.0, permiten a atacantes remotos ejecutar código PHP arbitrario por medio de una URL en el parámetro (1) db_conf o (2) ADODB_DIR en el archivo utils/stphpimage_show.php; o una URL en el parámetro STPHPLIB_DIR en el archivo (3) stphpbutton.php,(4) stphpcheckbox.php,(5) stphpcheckboxwithcaption.php,(6) stphpcheckgroup.php,(7) stphpcomponent.php,(8) stphpcontrolwithcaption.php,(9) stphpedit.php, (10) stphpeditwithcaption.php, (11) stphphr.php, (12) stphpimage.php, (13) stphpimagewithcaption.php, (14) stphplabel.php, (15) stphplistbox.php, (16) stphplistboxwithcaption.php, (17) stphplocale.php, (18) stphppanel.php, (19) stphpradiobutton.php, (20) stphpradiobuttonwithcaption.php, (21) stphpradiogroup.php, (22) stphprichbutton.php, (23) stphpspacer.php, (24) esptosible.php, (25) stphptablecell.php, (26) stphptablerow.php, (27) stphptabpanel.php, (28) stphptabtitle.php, (29) stphptextarea.php, (30) stphptextareawithcaption.php, (31) stphptoolbar.php, (32) stphpwindow.php, (33) stphpxmldoc.php, o (34) stphpxmlelement.php, un conjunto diferente de vectores de ataque de CVE-2007-4737. NOTA: la procedencia de esta información es desconocida; los datos son obtenidos únicamente de la información de terceros. • https://www.exploit-db.com/exploits/4358 http://osvdb.org/39073 http://osvdb.org/39074 http://osvdb.org/39075 http://osvdb.org/39076 http://osvdb.org/39077 http://osvdb.org/39078 http://osvdb.org/39079 http://osvdb.org/39080 http://osvdb.org/39081 http://osvdb.org/39082 http://osvdb.org/39083 http://osvdb.org/39084 http://osvdb.org/39085 http://osvdb.org/39086 http://osvdb.org/39087 http://osvdb.org/39088 http:/ • CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') •