Fabien Gutknecht

**Nome do Software Vulnerável e Versões Afetadas** Drupal Orejime versões 0.0.0 até 2.0.15 **Descrição** A neutralização inadequada de entradas durante a geração de páginas web permite Cross-Site Scripting (XSS). O elemento `IframeConsent` grava atributos HTML sem escapar seus valores. Um invasor com uma função que permita criar ou modificar conteúdo em um campo usando um formato de texto que habilite tags HTML `iframe-consent` com atributos alt (especificamente a opção *Enable JS Iframe consent*) pode inserir JavaScript arbitrário ao escrever uma tag `<iframe-consent>`. **Recomendações** Atualize para a versão 2.0.16. Restrinja o uso de formatos de texto que permitam tags HTML `iframe-consent` apenas a usuários autorizados.

**Name of the Vulnerable Software and Affected Versions** Drupal versions prior to 1.7.0 **Description** An incorrect authorization issue exists in Drupal’s Unpublished Node Permissions, allowing forceful browsing. The problem relates to inconsistent access control for unpublished translated nodes. The module, designed to manage permissions for unpublished nodes per content type, does not consistently enforce these controls. **Recommendations** Update to version 1.7.0 or later.