Vulnerabilidad en el módulo Values para Drupal (CVE-2015-8761)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
08/01/2016
Última modificación:
12/04/2025
Descripción
El módulo Values 7.x-1.x en versiones anteriores a 7.x-1.2 para Drupal no comprueba adecuadamente los permisos, lo que permite a administradores remotos con el permiso "Import value sets" ejecutar código PHP arbitrario a través de la lista de valores exportados en una importación ctools.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:values_project:values:7.x-1.0:*:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:beta1:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:beta2:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:beta3:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:rc1:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:rc2:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:rc3:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:rc4:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.0:rc5:*:*:*:drupal:*:* | ||
| cpe:2.3:a:values_project:values:7.x-1.1:*:*:*:*:drupal:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://cgit.drupalcode.org/values/commit/?id=5942ee9
- http://www.securityfocus.com/bid/79656
- https://www.drupal.org/node/2622534
- https://www.drupal.org/node/2636344
- http://cgit.drupalcode.org/values/commit/?id=5942ee9
- http://www.securityfocus.com/bid/79656
- https://www.drupal.org/node/2622534
- https://www.drupal.org/node/2636344