CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-41869
https://notcve.org/view.php?id=CVE-2021-41869
SuiteCRM 7.10.x before 7.10.33 and 7.11.x before 7.11.22 is vulnerable to privilege escalation. SuiteCRM versiones 7.10.x anteriores a 7.10.33 y versiones 7.11.x anteriores a 7.11.22 es vulnerable a una escalada de privilegios • https://docs.suitecrm.com/admin/releases/7.10.x/#_7_10_33 https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_22 https://github.com/ach-ing/cves/blob/main/CVE-2021-41869.md https://github.com/salesagility/SuiteCRM https://suitecrm.com •
CVSS: 8.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-25961 – SuiteCRM - Account Takeover in Password Reset Functionality
https://notcve.org/view.php?id=CVE-2021-25961
In “SuiteCRM” application, v7.1.7 through v7.10.31 and v7.11-beta through v7.11.20 fail to properly invalidate password reset links that is associated with a deleted user id, which makes it possible for account takeover of any newly created user with the same user id. En la aplicación "SuiteCRM", versiones v7.1.7 hasta v7.10.31 y versiones v7.11-beta hasta v7.11.20, falla al no comprobar apropiadamente los enlaces de restablecimiento de la contraseña asociados a un identificador de usuario eliminado, lo que permite una toma de la cuenta de cualquier usuario recién creado con el mismo identificador de usuario • https://github.com/salesagility/SuiteCRM/commit/7124482fe07ee164923d974456ed31e45f65e513 https://github.com/salesagility/SuiteCRM/commit/f463031bee59676d7d5be53bb32d551cd70a5648 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25961 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39267
https://notcve.org/view.php?id=CVE-2021-39267
Persistent cross-site scripting (XSS) in the web interface of SuiteCRM before 7.11.19 allows a remote attacker to introduce arbitrary JavaScript via a Content-Type Filter bypass to upload malicious files. This occurs because text/html is blocked, but other types that allow JavaScript execution (such as text/xml) are not blocked. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz web de SuiteCRM versiones anteriores a 7.11.19; permite a un atacante remoto introducir JavaScript arbitrario por medio de una omisión del filtro Content-Type para cargar archivos maliciosos. Esto ocurre porque text/html está bloqueado, pero otros tipos que permiten una ejecución de JavaScript (como text/xml) no están bloqueados. • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM https://thanhlocpanda.wordpress.com/2021/07/31/file-upload-bypass-suitecrm-7-11-18 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39268
https://notcve.org/view.php?id=CVE-2021-39268
Persistent cross-site scripting (XSS) in the web interface of SuiteCRM before 7.11.19 allows a remote attacker to introduce arbitrary JavaScript via malicious SVG files. This occurs because the clean_file_output protection mechanism can be bypassed. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz web de SuiteCRM versiones anteriores a 7.11.19; permite a un atacante remoto introducir JavaScript arbitrario por medio de archivos SVG maliciosos. Esto ocurre porque el mecanismo de protección de la función clean_file_output puede ser omitido. • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM https://thanhlocpanda.wordpress.com/2021/07/31/stored-xss-via-svg-on-suitecrm • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31792
https://notcve.org/view.php?id=CVE-2021-31792
XSS in the client account page in SuiteCRM before 7.11.19 allows an attacker to inject JavaScript via the name field Una vulnerabilidad de tipo XSS en la página client account en SuiteCRM versiones anteriores al 7.11.19, permite a un atacante inyectar JavaScript por medio del campo name. • https://chris-forbes.github.io/CVE-2021-31792 https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •