CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 0CVE-2011-4680
https://notcve.org/view.php?id=CVE-2011-4680
Multiple cross-site scripting (XSS) vulnerabilities in the customer portal in vtiger CRM before 5.2.0 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el portal del cliente en vtiger CRM antes de v5.2.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados. • http://wiki.vtiger.com/index.php/Jan2011:ODUpdate • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 5CVE-2011-4670 – vTiger CRM 5.2.1 - 'index.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2011-4670
Multiple cross-site scripting (XSS) vulnerabilities in vTiger CRM 5.2.1 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) viewname parameter in a CalendarAjax action, (2) activity_mode parameter in a DetailView action, (3) contact_id and (4) parent_id parameters in an EditView action, (5) day, (6) month, (7) subtab, (8) view, and (9) viewOption parameters in the index action, and (10) start parameter in the ListView action to the Calendar module; (11) return_action and (12) return_module parameters in the EditView action, and (13) query parameter in an index action to the Campaigns module; (14) return_url and (15) workflow_id parameters in an editworkflow action to the com_vtiger_workflow module; (16) display_view parameter in an index action to the Dashboard module; (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage, and (23) type parameters in a ListView action to the Potentials module; (24) folderid parameter in a SaveandRun action to the Reports module; (25) returnaction and (26) groupId parameters in a createnewgroup action, (27) mode and (28) parent parameters in a createrole action, (29) src_module in a ModuleManager action, (30) mode and (31) profile_id parameters in a profilePrivileges action, and (32) roleid parameter in a RoleDetailView to the Settings module; and (33) action parameter to the Home module and (34) module parameter to phprint.php. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en vTiger CRM versión 5.2.1 y anteriores, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del (1) parámetro viewname en una acción CalendarAjax, (2) parámetro activity_mode en una acción DetailView, parámetros (3) contact_id y (4) parent_id en una acción EditView, parámetros (5) day, (6) month, (7) subtab, (8) view y (9) viewOption en la acción index y parámetro (10) start en la acción ListView en el módulo Calendar; parámetros (11) return_action y (12) return_modules en la acción EditView y parámetro (13) query en una acción index en el módulo Campaigns; parámetros (14) return_url y (15) workflow_ids en una acción editworkflow en el módulo com_vtiger_workflow; parámetro (16) display_view en una acción index para el módulo Dashboard; parámetros (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage y (23) type en una acción ListView para el módulo Potentials; parámetro (24) folderid en una acción SaveandRun en el módulo Reports; parámetros (25) returnaction y (26) groupId en una acción createnewgroup, parámetros (27) mode y (28) parent en una acción createrole, parámetro (29) src_module en una acción ModuleManager, parámetros (30) mode y (31) profile_id en una acción profilePrivileges y parámetro (32) roleid en un RoleDetailView para el módulo Settings; y parámetro (33) action para el módulo Home y (34) module en el archivo phprint.php. • https://www.exploit-db.com/exploits/36203 https://www.exploit-db.com/exploits/36204 http://osvdb.org/76005 http://osvdb.org/76006 http://seclists.org/fulldisclosure/2011/Oct/154 http://www.securityfocus.com/archive/1/519993/100/0/threaded http://www.securityfocus.com/bid/49927 http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS https://exchange.xforce.ibmcloud.com/vulnerabilities/70306 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 4CVE-2011-4559 – vTiger CRM 5.2 - 'onlyforuser' SQL Injection
https://notcve.org/view.php?id=CVE-2011-4559
SQL injection vulnerability in the Calendar module in vTiger CRM 5.2.1 and earlier allows remote attackers to execute arbitrary SQL commands via the onlyforuser parameter in an index action to index.php. Vulnerabilidad de inyección SQL en el módulo de calendario en vTiger CRM v5.2.1 y anteriores permite a atacantes remotos ejecutar comandos SQL a través del parámetro onlyforuser en una acción índice a index.php. • https://www.exploit-db.com/exploits/36208 http://osvdb.org/76138 http://seclists.org/fulldisclosure/2011/Oct/224 http://www.securityfocus.com/archive/1/520006/100/0/threaded http://www.securityfocus.com/bid/49948 http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_blind_sqlin https://exchange.xforce.ibmcloud.com/vulnerabilities/70344 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.8EPSS: 1%CPEs: 24EXPL: 0CVE-2010-3910 – Vtiger CRM 5.2.0 Code Execution / Cross Site Scripting / Local File Inclusion
https://notcve.org/view.php?id=CVE-2010-3910
Multiple directory traversal vulnerabilities in the return_application_language function in include/utils/utils.php in vtiger CRM before 5.2.1 allow remote attackers to include and execute arbitrary local files via a .. (dot dot) in (1) the lang_crm parameter to phprint.php or (2) the current_language parameter in an Accounts Import action to graph.php. Múltiples vulnerabilidades de salto de directorio en la función return_application_language en include/utils/utils.php en vtiger CRM anterior a v5.2.1 permite a atacantes remotos incluir y ejecutar archivos locales a través de un .. (punto punto) en (1) el parámetro lang_crm a phprint.php o (2) el parámetro current_language en una acción Accounts Import a graph.php. Vtiger CRM 5.2.0 suffers from code execution, cross site scripting and local file inclusion vulnerabilities. • http://secunia.com/advisories/42246 http://vtiger.com/blogs/2010/11/16/vtiger-crm-521-is-released http://wiki.vtiger.com/index.php/Vtiger521:Release_Notes http://www.securityfocus.com/archive/1/514846/100/0/threaded http://www.ush.it/team/ush/hack-vtigercrm_520/vtigercrm_520.txt • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 0CVE-2010-3911 – Vtiger CRM 5.2.0 Code Execution / Cross Site Scripting / Local File Inclusion
https://notcve.org/view.php?id=CVE-2010-3911
Multiple cross-site scripting (XSS) vulnerabilities in vtiger CRM before 5.2.1 allow remote attackers to inject arbitrary web script or HTML via (1) the username (aka default_user_name) field or (2) the password field in a Users Login action to index.php, or (3) the label parameter in a Settings GetFieldInfo action to index.php, related to modules/Settings/GetFieldInfo.php. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados en vtiger CRM anterior a v5.2.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo (1) nombre de usuario (también conocido como default_user_name) o (2) el campo contraseña en una acción User Login a index.php, o (3) el parámetro etiqueta en una acción Settings GetFieldInfo a index.php, reaccionado con modules/Settings/GetFieldInfo.php. Vtiger CRM 5.2.0 suffers from code execution, cross site scripting and local file inclusion vulnerabilities. • http://secunia.com/advisories/42246 http://vtiger.com/blogs/2010/11/16/vtiger-crm-521-is-released http://wiki.vtiger.com/index.php/Vtiger521:Release_Notes http://www.securityfocus.com/archive/1/514846/100/0/threaded http://www.ush.it/team/ush/hack-vtigercrm_520/vtigercrm_520.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •