CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39268
https://notcve.org/view.php?id=CVE-2021-39268
Persistent cross-site scripting (XSS) in the web interface of SuiteCRM before 7.11.19 allows a remote attacker to introduce arbitrary JavaScript via malicious SVG files. This occurs because the clean_file_output protection mechanism can be bypassed. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz web de SuiteCRM versiones anteriores a 7.11.19; permite a un atacante remoto introducir JavaScript arbitrario por medio de archivos SVG maliciosos. Esto ocurre porque el mecanismo de protección de la función clean_file_output puede ser omitido. • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM https://thanhlocpanda.wordpress.com/2021/07/31/stored-xss-via-svg-on-suitecrm • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31792
https://notcve.org/view.php?id=CVE-2021-31792
XSS in the client account page in SuiteCRM before 7.11.19 allows an attacker to inject JavaScript via the name field Una vulnerabilidad de tipo XSS en la página client account en SuiteCRM versiones anteriores al 7.11.19, permite a un atacante inyectar JavaScript por medio del campo name. • https://chris-forbes.github.io/CVE-2021-31792 https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_19 https://github.com/salesagility/SuiteCRM • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-14208
https://notcve.org/view.php?id=CVE-2020-14208
SuiteCRM 7.11.13 is affected by stored Cross-Site Scripting (XSS) in the Documents preview functionality. This vulnerability could allow remote authenticated attackers to inject arbitrary web script or HTML. SuiteCRM versión 7.11.13, está afectado por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en la funcionalidad Documents preview. Esta vulnerabilidad podría permitir a atacantes autenticados remotamente inyectar código web o HTML arbitrario • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15300
https://notcve.org/view.php?id=CVE-2020-15300
SuiteCRM through 7.11.13 has an Open Redirect in the Documents module via a crafted SVG document. SuiteCRM versiones hasta 7.11.13, presenta un redireccionamiento abierto en el módulo Documents por medio de un documento SVG diseñado • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-009 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15301
https://notcve.org/view.php?id=CVE-2020-15301
SuiteCRM through 7.11.13 allows CSV Injection via registration fields in the Accounts, Contacts, Opportunities, and Leads modules. These fields are mishandled during a Download Import File Template operation. SuiteCRM versiones hasta 7.11.13, permite la inyección de CSV por medio de los campos de registro en los módulos Accounts, Contacts, Opportunities, y Leads. Estos campos son manejados inapropiadamente durante una operación de Descargar plantilla de archivo de importación • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-010 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •