CVE-2007-5621
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/10/2007
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el módulo Toke versiones anteriores a 4.7.x-1.5, y 5.x versiones anteriores a 5.x-1.9, para Drupal; tal y como se usa en los módulos ASIN Field, e-Commerce, campo Fullname para CCK, Invite, Node Relativity, Pathauto, PayPal Node, y Ubercart; permiten a atacantes remotos autenticados con privilegios de enviar comentarios, inyectar scripts web o HTML de su elección mediante vectores no especificados relativos a (1) comments, (2) vocabulary names, (3) term names, y (4) usernames.
Impacto
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:drupal:asin_field_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:4.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:e-commerce_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:fullname_field_for_cck:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:invite_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:node_relativity_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:pathauto_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:paypal_node_module:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:token_module:*:*:*:*:*:*:*:* | 1.4 (incluyendo) | |
| cpe:2.3:a:drupal:token_module:*:*:*:*:*:*:*:* | 1.8 (incluyendo) | |
| cpe:2.3:a:drupal:ubercart_module:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página