CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3598
https://notcve.org/view.php?id=CVE-2007-3598
index.php in vtiger CRM before 5.0.3 allows remote authenticated users to obtain all users' names and e-mail addresses, and possibly change user settings, via a modified record parameter in a DetailView action to the Users module. NOTE: the vendor disputes the changing of settings, reporting that the attack vector results in a "You are not permitted to execute this Operation" error message in a 5.0.3 demo. index.php de vtiger CRM versiones anteriores a 5.0.3 permite a usuarios remotos autenticados obtener todos los nombres de usuario y direcciones de correo electrónico, y posiblemente cambiar propiedades de usuario, mediante un parámetro de registro modificado en una acción DetailView en el módulo Users. NOTA: El fabricante impugna el cambio de propiedades, argumentando que el vector de ataque concluye con un mensaje de error "No estás autorizado a ejecutar esta Operación" en una demostración 5.0.3. • http://forums.vtiger.com/viewtopic.php?p=38609 http://trac.vtiger.com/cgi-bin/trac.cgi/report/9 http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/2664 http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/2985 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3603
https://notcve.org/view.php?id=CVE-2007-3603
SQL injection vulnerability in the dashboard (include/utils/SearchUtils.php) in vtiger CRM before 5.0.3 allows remote authenticated users to execute arbitrary SQL commands via the assigned_user_id parameter in a Potentials ListView action to index.php. Vulnerabilidad de inyección SQL en el panel de control (include/utils/SearchUtils.php) en vtiger CRM versiones anteriores a 5.0.3 permite a usuarios remotos autenticados ejecutar comandos SQL de su elección a través del parámetro assigned_user_id en la acción Potentials ListView de index.php. • http://forums.vtiger.com/viewtopic.php?p=44717 http://osvdb.org/45782 http://trac.vtiger.com/cgi-bin/trac.cgi/changeset/10423 http://trac.vtiger.com/cgi-bin/trac.cgi/report/9 http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/3196 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3616
https://notcve.org/view.php?id=CVE-2007-3616
index.php in vtiger CRM before 5.0.3 allows remote authenticated users to perform administrative changes to arbitrary profile settings via a certain profilePrivileges action in the Users module. index.php de vtiger CRM versiones anteriores a 5.0.3 permite a usuarios remotos autenticados realizar cambios administrativos a propiedades de perfil de su elección mediante una acción profilePrivileges determinada en el módulo Users. • http://trac.vtiger.com/cgi-bin/trac.cgi/report/9 http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/2237 •
CVSS: 7.5EPSS: 15%CPEs: 1EXPL: 2CVE-2006-5289 – vTiger CRM 4.2 - 'calpath' Multiple Remote File Inclusions
https://notcve.org/view.php?id=CVE-2006-5289
Multiple PHP remote file inclusion vulnerabilities in Vtiger CRM 4.2 and earlier allow remote attackers to execute arbitrary PHP code via a URL in the calpath parameter to (1) modules/Calendar/admin/update.php, (2) modules/Calendar/admin/scheme.php, or (3) modules/Calendar/calendar.php. Múltiples vulnerabilidades PHP de inclusión remota de archivo en Vtiger CRM 4.2 y anteriores permite a un atacante remoto ejecutar código PHP de su elección a través de una URL en el parámetro calpath en (1) modules/Calendar/admin/update.php, (2) modules/Calendar/admin/scheme.php, o (3) modules/Calendar/calendar.php. • https://www.exploit-db.com/exploits/2508 http://advisories.echo.or.id/adv/adv54-theday-2006.txt http://securityreason.com/securityalert/1722 http://www.securityfocus.com/archive/1/448092/100/0/threaded http://www.securityfocus.com/bid/20435 https://exchange.xforce.ibmcloud.com/vulnerabilities/29416 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2006-4617
https://notcve.org/view.php?id=CVE-2006-4617
Unrestricted file upload vulnerability in fileupload.html in vtiger CRM 4.2.4, and possibly earlier versions, allows remote attackers to upload and execute arbitrary files with executable extensions in the /cashe/mails folder. Vulnerabilidad de actualización de archivo no restrictiva en fileupload.html en vtiger CRM 4.2.4, y posiblemente versiones anteriores, permite a un atacante remoto actualizar y ejecutar ficheros de su elección con extensiones ejecutables en la carpeta /cashe/mails. • http://www.osvdb.org/28459 http://www.security-net.biz/adv/D3906a.txt •