Forest Monsen

**Nome do software vulnerável e versões afetadas: Módulo Organic Groups (OG) versões 7.x-2.x anteriores à 7.x-2.3 para Drupal Descrição: A vulnerabilidade permite que usuários remotos autenticados adivinhem IDs de nós, se inscrevam e leiam o conteúdo de grupos privados arbitrários por meio de vetores não especificados, devido à restrição inadequada do acesso a grupos privados. Recomendações: Para as versões 7.x-2.x do módulo Organic Groups (OG) anteriores à 7.x-2.3, atualize para a versão 7.x-2.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do módulo Mozilla Persona de 7.x-1.x a 7.x-1.10 Descrição: Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) na função `persona xsrf token`, localizada no arquivo persona.module do módulo Mozilla Persona para Drupal. Isso permite que invasores remotos sequestrem a autenticação de usuários arbitrários por meio de um token de segurança que não é do tipo de dados string. Recomendações: Para as versões 7.x-1.x a 7.x-1.10 do módulo Mozilla Persona, atualize para a versão 7.x-1.11 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `persona xsrf token` até que um patch esteja disponível. Restrinja o acesso ao persona.module para minimizar o risco de exploração. Evite usar o token de segurança em um tipo de dados que não seja string no módulo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Módulo Drupal Authenticated User Page Caching (Authcache), versões 7.x-1.x anteriores à 7.x-1.5 Descrição: A vulnerabilidade permite que invasores remotos com a mesma combinação de funções que o superusuário obtenham informações confidenciais por meio das páginas armazenadas em cache do superusuário, devido a restrições inadequadas de acesso a essas páginas. Recomendações: Para as versões 7.x-1.x anteriores à 7.x-1.5 do módulo Drupal Authenticated User Page Caching (Authcache), atualize para a versão 7.x-1.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Commerce Skrill (anteriormente Moneybookers) versões anteriores à 7.x-1.2 Descrição: O problema é uma vulnerabilidade que permite contornar o Access. Recomendações: Para versões anteriores à 7.x-1.2, atualize para a versão 7.x-1.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Módulo de segurança de login, versões 6.x-1.x anteriores à 6.x-1.3 Módulo de segurança de login, versões 7.x-1.x anteriores à 7.x-1.3 Descrição: A vulnerabilidade permite que invasores contornem as restrições previstas por meio de um `username` malicioso. Recomendações: Para as versões 6.x-1.x anteriores à 6.x-1.3, atualize para a versão 6.x-1.3 ou posterior. Para as versões 7.x-1.x anteriores à 7.x-1.3, atualize para a versão 7.x-1.3 ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do módulo Smiley anteriores à 6.x-1.1 Versões do módulo Smileys anteriores à 6.x-1.1 Descrição: Uma vulnerabilidade de script entre sites (XSS) permite que usuários remotos autenticados com a permissão `administer smiley` injetem scripts da web ou HTML arbitrários por meio de um acrônimo de smiley. Recomendações: Para versões do módulo Smiley anteriores à 6.x-1.1, atualize para a versão 6.x-1.1 ou posterior. Para versões do módulo Smileys anteriores à 6.x-1.1, atualize para a versão 6.x-1.1 ou posterior. Como solução temporária, considere restringir a permissão `administer smiley` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Payment for Webform module versions 7.x-1.x before 7.x-1.5 **Description** The issue allows remote anonymous users to use the payment of other anonymous users when submitting a form that requires payment, due to the lack of access restriction by anonymous users. **Recommendations** For Payment for Webform module versions 7.x-1.x before 7.x-1.5, update to version 7.x-1.5 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Entity API module versions 7.x-1.x through 7.x-1.1 **Description** The issue allows remote authenticated users to read node comments via unspecified vectors due to improper access restriction. **Recommendations** For Entity API module versions 7.x-1.x through 7.x-1.1, update to version 7.x-1.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Drupal Misery module versions 6.x-2.x before 6.x-2.5 Drupal Misery module versions 7.x-2.x before 7.x-2.2 **Description** The issue allows remote attackers to cause a denial of service, specifically process consumption, via multiple requests when the `delay misery` configuration is set to a high value. **Recommendations** For Drupal Misery module version 6.x-2.x, update to version 6.x-2.5 or later. For Drupal Misery module version 7.x-2.x, update to version 7.x-2.2 or later. As a temporary workaround, consider setting the `delay misery` configuration to a lower value to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Revisioning module for Drupal versions 7.x-1.x before 7.x-1.6 **Description** The issue allows remote authenticated users to obtain sensitive information due to improper checking of node access permissions for unpublished content. **Recommendations** For Revisioning module for Drupal versions 7.x-1.x before 7.x-1.6, update to version 7.x-1.6 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** MediaFront module versions 6.x-1.x before 6.x-1.6 MediaFront module versions 7.x-1.x before 7.x-1.6 MediaFront module versions 7.x-2.x before 7.x-2.1 **Description** A cross-site scripting (XSS) issue exists in the MediaFront module for Drupal, allowing remote authenticated users with the "administer mediafront" permission to inject arbitrary web script or HTML via the preset settings. **Recommendations** For MediaFront module version 6.x-1.x, update to version 6.x-1.6 or later. For MediaFront module version 7.x-1.x, update to version 7.x-1.6 or later. For MediaFront module version 7.x-2.x, update to version 7.x-2.1 or later.

**Name of the Vulnerable Software and Affected Versions** Quick Tabs module versions 6.x-2.x through 6.x-2.1 Quick Tabs module versions 6.x-3.x through 6.x-3.1 Quick Tabs module versions 7.x-3.x through 7.x-3.5 **Description** The issue allows remote attackers to obtain sensitive information by reading a Quick Tab, due to improper checking of block permissions. **Recommendations** For Quick Tabs module versions 6.x-2.x through 6.x-2.1, update to version 6.x-2.2 or later. For Quick Tabs module versions 6.x-3.x through 6.x-3.1, update to version 6.x-3.2 or later. For Quick Tabs module versions 7.x-3.x through 7.x-3.5, update to version 7.x-3.6 or later.

**Name of the Vulnerable Software and Affected Versions** Drupal Spaces module versions 6.x-3.x before 6.x-3.7 **Description** The issue affects the Spaces OG submodule in the Spaces module for Drupal. It does not properly delete organic group group spaces content when the option to move to a new group is used, resulting in "orphaned" content. This allows remote authenticated users with the "access content" permission to obtain sensitive information via vectors involving a rebuild access for the site or content. **Recommendations** For versions 6.x-3.x before 6.x-3.7, update to version 6.x-3.7 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Quiz module versions 6.x-4.x before 6.x-4.5 **Description** The issue allows remote authenticated users with the `view any quiz results` or `view results for own quiz` permission to delete arbitrary results. **Recommendations** For versions prior to 6.x-4.5, update to version 6.x-4.5 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Monster Menus module versions 7.x-1.x before 7.x-1.15 **Description** The issue allows remote attackers to read arbitrary node comments via a crafted URL. **Recommendations** For Monster Menus module versions 7.x-1.x before 7.x-1.15, update to version 7.x-1.15 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Invitation module versions 7.x-2.x **Description** The issue allows remote attackers to obtain sensitive information due to improper permission checking. **Recommendations** For Invitation module versions 7.x-2.x, update the module to a version that properly checks permissions, or consider disabling the default views until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Organic Groups (OG) module versions 7.x-2.x through 7.x-2.2 **Description** The issue allows remote authenticated users to bypass group restrictions on nodes with all groups set to optional input via an empty group field. **Recommendations** For Organic Groups (OG) module versions 7.x-2.x through 7.x-2.2, update to version 7.x-2.3 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** EU Cookie Compliance module versions prior to 7.x-1.12 **Description** A cross-site scripting (XSS) issue exists, allowing remote authenticated administrators with the "Administer EU Cookie Compliance popup" permission to inject arbitrary web script or HTML via unspecified configuration values. **Recommendations** For versions prior to 7.x-1.12, update to version 7.x-1.12 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Drupal RESTful Web Services (RESTWS) module versions 7.x-1.x before 7.x-1.3 Drupal RESTful Web Services (RESTWS) module versions 7.x-2.x before 7.x-2.0-alpha5 **Description** The issue allows remote attackers to cause a denial of service via a GET request with an HTTP Accept header set to a non-HTML type. This can interfere with Drupal's page cache when page caching is enabled and anonymous users are assigned RESTWS permissions. **Recommendations** For versions 7.x-1.x before 7.x-1.3, update to version 7.x-1.3 or later. For versions 7.x-2.x before 7.x-2.0-alpha5, update to version 7.x-2.0-alpha5 or later.

**Name of the Vulnerable Software and Affected Versions** Make Meeting Scheduler module versions 6.x-1.x before 6.x-1.3 **Description** The issue allows remote attackers to bypass intended access restrictions for a poll by making a direct request to the node's URL instead of the hashed URL. **Recommendations** For Make Meeting Scheduler module versions 6.x-1.x before 6.x-1.3, update to version 6.x-1.3 or later to resolve the issue.