漏洞标题
N/A
漏洞描述信息
在vTiger CRM 5.2.1 和更早版本中,多个跨站脚本(XSS)漏洞允许远程攻击者通过(1)日历Ajax动作中的视图名称参数,(2)DetailView动作中的活动模式参数,(3)EditView动作中的联系人ID和父ID参数,(5)索引动作中的日、月、子标签、视图和视图选项参数,以及(10)列表视图动作中的开始参数,将日历模块引入;(11)EditView动作中的返回动作和(12)返回模块参数,以及(13)索引动作中的查询参数,将 Campaigns 模块引入;(14)Editworkflow动作中的返回URL和 workflow_id 参数,将 com_vtiger_workflow 模块引入;(16)索引动作中的显示视图参数,将Dashboard模块显示;(17) closingdate_end,(18) closingdate_start,(19) date_closed,(20)所有者,(21)线索来源,(22)销售阶段,和(23)类型参数,将潜在模块引入;(24)SaveandRun动作中的文件夹ID参数,将报告模块引入;(25)Createnewgroup动作中的返回动作和 groupId 参数,将角色创建模块引入;(27)Createrole 动作中的模式和父参数,将角色创建模块引入;(29)ModuleManager 动作中的 src_module,(30)模式和(31) profile_id 参数,将设置模块引入;(32)RoleDetailView 动作中的 roleid 参数,将Settings 模块引入;(33)将动作参数发送到 Home 模块,将模块参数发送到 phprint.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in vTiger CRM 5.2.1 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) viewname parameter in a CalendarAjax action, (2) activity_mode parameter in a DetailView action, (3) contact_id and (4) parent_id parameters in an EditView action, (5) day, (6) month, (7) subtab, (8) view, and (9) viewOption parameters in the index action, and (10) start parameter in the ListView action to the Calendar module; (11) return_action and (12) return_module parameters in the EditView action, and (13) query parameter in an index action to the Campaigns module; (14) return_url and (15) workflow_id parameters in an editworkflow action to the com_vtiger_workflow module; (16) display_view parameter in an index action to the Dashboard module; (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage, and (23) type parameters in a ListView action to the Potentials module; (24) folderid parameter in a SaveandRun action to the Reports module; (25) returnaction and (26) groupId parameters in a createnewgroup action, (27) mode and (28) parent parameters in a createrole action, (29) src_module in a ModuleManager action, (30) mode and (31) profile_id parameters in a profilePrivileges action, and (32) roleid parameter in a RoleDetailView to the Settings module; and (33) action parameter to the Home module and (34) module parameter to phprint.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
vTiger CRM跨站脚本漏洞
漏洞描述信息
Vtiger CRM是美国Vtiger公司的一套基于SugarCRM开发的客户关系管理系统(CRM)。该管理系统提供管理、收集、分析客户信息等功能。 vTiger CRM 5.2.1以及之前版本中存在多个跨站脚本漏洞。该漏洞源于对用户提供的数据没有经过正确的检查。远程攻击者可利用该漏洞在受影响站点上下文的未知用户浏览器中执行任意脚本代码,窃取基于cookie的认证证书进而发起其他攻击,或者可通过多个参数注入任意web脚本或者HTML,例如:viewname和activity_mode 参数。
CVSS信息
N/A
漏洞类别
跨站脚本