CVSS: 9.8EPSS: 83%CPEs: 1EXPL: 4CVE-2013-3214 – vTiger CRM 5.4.0 SOAP - AddEmailAttachment Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2013-3214
vtiger CRM 5.4.0 and earlier contain a PHP Code Injection Vulnerability in 'vtigerolservice.php'. vtiger CRM versiones 5.4.0 y anteriores, contiene una vulnerabilidad de inyección de código PHP en el archivo "vtigerolservice.php". • https://www.exploit-db.com/exploits/30787 https://www.exploit-db.com/exploits/27279 https://github.com/shadofren/CVE-2013-3214 http://www.exploit-db.com/exploits/30787 http://www.securityfocus.com/bid/61558 https://exchange.xforce.ibmcloud.com/vulnerabilities/86164 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 3CVE-2012-4867 – vTiger CRM 5.1.0 - Local File Inclusion
https://notcve.org/view.php?id=CVE-2012-4867
Directory traversal vulnerability in modules/com_vtiger_workflow/sortfieldsjson.php in vtiger CRM 5.1.0 allows remote attackers to read arbitrary files via a .. (dot dot) in the module_name parameter. Vulnerabilidad de directorio transversal en modules/com_vtiger_workflow/sortfieldsjson.php en vtiger CRM v5.1.0 permite a atacantes remotos leer archivos de su elección a través de .. (punto punto) en el parámetro module_name. • https://www.exploit-db.com/exploits/18770 http://packetstormsecurity.org/files/111075/Vtiger-5.1.0-Local-File-Inclusion.html http://www.exploit-db.com/exploits/18635 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 2CVE-2011-4679
https://notcve.org/view.php?id=CVE-2011-4679
vtiger CRM before 5.3.0 does not properly recognize the disabled status of a field in the Leads module, which allows remote authenticated users to bypass intended access restrictions by reading a previously created report. vtiger CRM antes de v5.3.0 no reconoce adecuadamente el estado deshabilitado de un campo en el módulo Leads, lo que permite a usuarios autenticados remotamente evitar restricciones de acceso intencionadas leyendo un informe previamente creado. • http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/7003 http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/7004 http://wiki.vtiger.com/index.php/Oct2011:ODUpdate • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 0CVE-2011-4680
https://notcve.org/view.php?id=CVE-2011-4680
Multiple cross-site scripting (XSS) vulnerabilities in the customer portal in vtiger CRM before 5.2.0 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el portal del cliente en vtiger CRM antes de v5.2.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados. • http://wiki.vtiger.com/index.php/Jan2011:ODUpdate • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 5CVE-2011-4670 – vTiger CRM 5.2.1 - 'index.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2011-4670
Multiple cross-site scripting (XSS) vulnerabilities in vTiger CRM 5.2.1 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) viewname parameter in a CalendarAjax action, (2) activity_mode parameter in a DetailView action, (3) contact_id and (4) parent_id parameters in an EditView action, (5) day, (6) month, (7) subtab, (8) view, and (9) viewOption parameters in the index action, and (10) start parameter in the ListView action to the Calendar module; (11) return_action and (12) return_module parameters in the EditView action, and (13) query parameter in an index action to the Campaigns module; (14) return_url and (15) workflow_id parameters in an editworkflow action to the com_vtiger_workflow module; (16) display_view parameter in an index action to the Dashboard module; (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage, and (23) type parameters in a ListView action to the Potentials module; (24) folderid parameter in a SaveandRun action to the Reports module; (25) returnaction and (26) groupId parameters in a createnewgroup action, (27) mode and (28) parent parameters in a createrole action, (29) src_module in a ModuleManager action, (30) mode and (31) profile_id parameters in a profilePrivileges action, and (32) roleid parameter in a RoleDetailView to the Settings module; and (33) action parameter to the Home module and (34) module parameter to phprint.php. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en vTiger CRM versión 5.2.1 y anteriores, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del (1) parámetro viewname en una acción CalendarAjax, (2) parámetro activity_mode en una acción DetailView, parámetros (3) contact_id y (4) parent_id en una acción EditView, parámetros (5) day, (6) month, (7) subtab, (8) view y (9) viewOption en la acción index y parámetro (10) start en la acción ListView en el módulo Calendar; parámetros (11) return_action y (12) return_modules en la acción EditView y parámetro (13) query en una acción index en el módulo Campaigns; parámetros (14) return_url y (15) workflow_ids en una acción editworkflow en el módulo com_vtiger_workflow; parámetro (16) display_view en una acción index para el módulo Dashboard; parámetros (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage y (23) type en una acción ListView para el módulo Potentials; parámetro (24) folderid en una acción SaveandRun en el módulo Reports; parámetros (25) returnaction y (26) groupId en una acción createnewgroup, parámetros (27) mode y (28) parent en una acción createrole, parámetro (29) src_module en una acción ModuleManager, parámetros (30) mode y (31) profile_id en una acción profilePrivileges y parámetro (32) roleid en un RoleDetailView para el módulo Settings; y parámetro (33) action para el módulo Home y (34) module en el archivo phprint.php. • https://www.exploit-db.com/exploits/36203 https://www.exploit-db.com/exploits/36204 http://osvdb.org/76005 http://osvdb.org/76006 http://seclists.org/fulldisclosure/2011/Oct/154 http://www.securityfocus.com/archive/1/519993/100/0/threaded http://www.securityfocus.com/bid/49927 http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS https://exchange.xforce.ibmcloud.com/vulnerabilities/70306 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •