Drupal
Уязвимости
41
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.79071
Распределение по критичности
Критический
0
Высокий
9
Средний
26
Низкий
6
Также сопоставлено как (исходные строки): drupal
Топ уязвимостей
CVE-2007-6299Множественные уязвимости SQL-инъекций в Drupal и vbDrupal 4.7.x до 4.7.9 и 5.x до 5.4 позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через модули, которые передают ввод в функцию taxonomy_select_nodes, как демонстрируют (1) taxonomy_menu, (2) ajaxLoader и (3) предоставленные модули ubrowser.
CVE-2007-5270Неуказанная уязвимость в модуле Boost до 4.7.x-1.0 и 5.x до 5.x-1.0 для Drupal позволяет удаленным злоумышленникам создавать или перезаписывать произвольные файлы и проводить атаки межсайтового скриптинга (XSS) через неуказанные векторы.
CVE-2006-5476Уязвимость межсайтовой подделки запросов (CSRF) в Drupal 4.6.x до 4.6.10 и 4.7.x до 4.7.4 позволяет удаленным злоумышленникам выполнять несанкционированные действия от имени произвольного пользователя через неуказанные векторы.
CVE-2006-3473Уязвимость внедрения CRLF в form_mail Drupal Module до версии 1.8.2.2 позволяет удаленным злоумышленникам внедрять заголовки электронной почты, что облегчает отправку спам-сообщений, что является проблемой, отличной от CVE-2006-1225.
CVE-2006-2831Drupal 4.6.x до 4.6.8 и 4.7.x до 4.7.2, при работе в определенных конфигурациях Apache, таких как когда переопределения FileInfo отключены в .htaccess, позволяет удаленным злоумышленникам выполнять произвольный код, загружая файл с несколькими расширениями, вариант CVE-2006-2743.
CVE-2006-2742Уязвимость SQL-инъекции в Drupal 4.6.x до 4.6.7 и 4.7.0 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через переменные (1) count и (2) from для (a) database.mysql.inc, (b) database.pgsql.inc и (c) database.mysqli.inc.
CVE-2005-2498Уязвимость eval-инъекции в PHPXMLRPC 1.1.1 и более ранних версиях (PEAR XML-RPC для PHP), используемом во многих продуктах, включая (1) Drupal, (2) phpAdsNew, (3) phpPgAds и (4) phpgroupware, позволяет удаленным злоумышленникам выполнять произвольный код PHP через определенные вложенные XML-теги в PHP-документе, которые не должны быть вложенными, которые внедряются в вызов функции eval, что является другой уязвимостью, чем CVE-2005-1921.
CVE-2005-1921Уязвимость eval injection в PEAR XML_RPC 1.3.0 и более ранних версиях (также известная как XML-RPC или xmlrpc) и PHPXMLRPC (также известная как XML-RPC For PHP или php-xmlrpc) 1.1 и более ранних версиях, используемая в таких продуктах, как (1) WordPress, (2) Serendipity, (3) Drupal, (4) egroupware, (5) MailWatch, (6) TikiWiki, (7) phpWebSite, (8) Ampache и других, позволяет удаленным злоумышленникам выполнять произвольный PHP-код через XML-файл, который неправильно очищается перед использованием в операторе eval.
CVE-2005-1871Неизвестная уязвимость в системе привилегий в Drupal 4.4.0 - 4.6.0, когда включена публичная регистрация, позволяет удаленным злоумышленникам получать привилегии из-за "проверки ввода", которая "не реализована должным образом".
CVE-2007-5593install.php в Drupal 5.x до версии 5.3, когда настроенный сервер базы данных недоступен, позволяет удаленным злоумышленникам выполнять произвольный код через векторы, вызывающие изменение settings.php.
CVE-2007-5416Drupal 5.2 и более ранние версии неправильно удаляют переменные, когда входные данные включают числовой параметр со значением, соответствующим хеш-значению буквенно-цифрового параметра, что позволяет удаленным злоумышленникам выполнять произвольный код PHP, вызывая функцию drupal_eval через параметр обратного вызова в URI по умолчанию, как продемонстрировано параметром _menu[callbacks][1][callback]. ПРИМЕЧАНИЕ: можно утверждать, что эта уязвимость вызвана ошибкой в команде PHP unset (CVE-2006-3017), и правильное исправление должно быть в PHP; если это так, то это не следует рассматривать как уязвимость в Drupal.
CVE-2006-5475Множественные уязвимости межсайтового скриптинга (XSS) в XML-парсере в Drupal 4.6.x до 4.6.10 и 4.7.x до 4.7.4 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданную RSS-ленту.
CVE-2007-0626Функция comment_form_add_preview в comment.module в Drupal до версии 4.7.6 и 5.x до версии 5.1, а также vbDrupal, позволяет удаленным злоумышленникам с правами "post comments" и доступом к нескольким входным фильтрам выполнять произвольный код, просматривая комментарии, которые не обрабатываются "обычными процедурами проверки формы".
CVE-2005-3974Drupal 4.5.0 — 4.5.5 и 4.6.0 — 4.6.3 при работе на PHP5 некорректно применяет привилегии пользователя, что позволяет удаленным злоумышленникам обходить разрешение "access user profiles".
CVE-2007-5595Уязвимость внедрения CRLF в функции drupal_goto в includes/common.inc Drupal 4.7.x до версии 4.7.8 и 5.x до версии 5.3 позволяет удаленным злоумышленникам внедрять произвольные заголовки HTTP и проводить атаки с разделением HTTP-ответов через неуказанные векторы.
CVE-2006-2743Drupal 4.6.x до 4.6.7 и 4.7.0 при работе на Apache с mod_mime неправильно обрабатывает файлы с несколькими расширениями, что позволяет удаленным злоумышленникам загружать, изменять или выполнять произвольные файлы в каталоге файлов.
CVE-2006-1228Уязвимость фиксации сеанса в Drupal 4.5.x до 4.5.8 и 4.6.x до 4.5.8 позволяет удаленным злоумышленникам получать привилегии, обманом заставляя пользователя щелкнуть URL-адрес, который фиксирует идентификатор сеанса.
CVE-2007-4436Модуль Drupal Project до версий 5.x-1.0, 4.7.x-2.3 и 4.7.x-1.3 и модуль отслеживания проблем Project до версий 5.x-1.0, 4.7.x-2.4 и 4.7.x-1.4 неправильно применяют разрешения, что позволяет удаленным злоумышленникам (1) получать конфиденциальную информацию через модуль Tracker и страницу Recent posts; (2) получать имена проектов через неуказанные векторы; (3) получать конфиденциальную информацию через страницы статистики; и (4) читать активность проекта CVS.
CVE-2006-1225Уязвимость CRLF-инъекции в Drupal 4.5.x до 4.5.8 и 4.6.x до 4.5.8 позволяет удаленным злоумышленникам внедрять заголовки исходящих сообщений электронной почты и использовать Drupal в качестве спам-прокси.
CVE-2005-2106Неизвестная уязвимость в Drupal 4.5.0 - 4.5.3, 4.6.0 и 4.6.1 позволяет удаленным злоумышленникам выполнять произвольный PHP-код через общедоступный комментарий или сообщение.
CVE-2006-1227Drupal 4.5.x до 4.5.8 и 4.6.x до 4.5.8, когда menu.module используется для создания пункта меню, не реализует контроль доступа для страницы, на которую есть ссылка, что может позволить удаленным злоумышленникам получить доступ к страницам администратора.
CVE-2007-5598Уязвимость межсайтового скриптинга (XSS) в Weblinks для Drupal 4.7.x до версии 4.7.x-1.0 и 5.x до версии 5.x-1.8 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2007-5597API hook_comments в Drupal 4.7.x до версии 4.7.8 и 5.x до версии 5.3 не передает статус публикации, что может позволить злоумышленникам обходить ограничения доступа и запускать электронную почту с неопубликованными комментариями из некоторых модулей, как продемонстрировано на (1) Organic groups и (2) Subscriptions.
CVE-2007-5596Основной модуль Upload в Drupal 4.7.x до версии 4.7.8 и 5.x до версии 5.3 помещает расширение .html в белый список, что позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS), загружая файлы .html.
CVE-2007-5594Drupal 5.x до версии 5.3 не применяет свою защиту Drupal Forms API против формы удаления пользователя, что позволяет удаленным злоумышленникам удалять пользователей через атаку с подделкой межсайтовых запросов (CSRF).