CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39267
https://notcve.org/view.php?id=CVE-2021-39267
Persistent cross-site scripting (XSS) in the web interface of SuiteCRM before 7.11.19 allows a remote attacker to introduce arbitrary JavaScript via a Content-Type Filter bypass to upload malicious files. This occurs because text/html is blocked, but other types that allow JavaScript execution (such as text/xml) are not blocked. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz web de SuiteCRM versiones anteriores a 7.11.19; permite a un atacante remoto introducir JavaScript arbitrario por medio de una omisión del filtro Content-Type para cargar archivos maliciosos. Esto ocurre porque text/html está bloqueado, pero otros tipos que permiten una ejecución de JavaScript (como text/xml) no están bloqueados. • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM https://thanhlocpanda.wordpress.com/2021/07/31/file-upload-bypass-suitecrm-7-11-18 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39268
https://notcve.org/view.php?id=CVE-2021-39268
Persistent cross-site scripting (XSS) in the web interface of SuiteCRM before 7.11.19 allows a remote attacker to introduce arbitrary JavaScript via malicious SVG files. This occurs because the clean_file_output protection mechanism can be bypassed. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz web de SuiteCRM versiones anteriores a 7.11.19; permite a un atacante remoto introducir JavaScript arbitrario por medio de archivos SVG maliciosos. Esto ocurre porque el mecanismo de protección de la función clean_file_output puede ser omitido. • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM https://thanhlocpanda.wordpress.com/2021/07/31/stored-xss-via-svg-on-suitecrm • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31792
https://notcve.org/view.php?id=CVE-2021-31792
XSS in the client account page in SuiteCRM before 7.11.19 allows an attacker to inject JavaScript via the name field Una vulnerabilidad de tipo XSS en la página client account en SuiteCRM versiones anteriores al 7.11.19, permite a un atacante inyectar JavaScript por medio del campo name. • https://chris-forbes.github.io/CVE-2021-31792 https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14208
https://notcve.org/view.php?id=CVE-2020-14208
SuiteCRM 7.11.13 is affected by stored Cross-Site Scripting (XSS) in the Documents preview functionality. This vulnerability could allow remote authenticated attackers to inject arbitrary web script or HTML. SuiteCRM versión 7.11.13, está afectado por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en la funcionalidad Documents preview. Esta vulnerabilidad podría permitir a atacantes autenticados remotamente inyectar código web o HTML arbitrario • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15300
https://notcve.org/view.php?id=CVE-2020-15300
SuiteCRM through 7.11.13 has an Open Redirect in the Documents module via a crafted SVG document. SuiteCRM versiones hasta 7.11.13, presenta un redireccionamiento abierto en el módulo Documents por medio de un documento SVG diseñado • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-009 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •