VULHUB ™

BUGTRAQ ID: 30951 CVE(CAN) ID: CVE-2008-3101 vtiger CRM是基于web的开源客户关系管理系统。 vtiger CRM实现上存在漏洞，远程攻击者可以通过向vtiger CRM的多个模块提交恶意的认证或查询请求执行跨站脚本攻击。 1) 当module设置为Users且action设置为Authenticate的时候，index.php文件没有正确的验证对user_password参数的输入便返回给了用户，可能导致在用户浏览器会话中执行任意HTML和脚本代码。 2) 当module设置为Products且action设置为index的时候，index.php文件没有正确的验证对parenttab参数的输入；当module设置为Home且action设置为UnifiedSearch的时候，index.php没有正确的验证对query_string参数的输入，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。 Different Solutions vtiger CRM 5.0.4 Different Solutions ------------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.vtiger.de/no_cache/vtiger-crm/downloads/patches.html?tx_abdownloads_pi1%5Baction%5D=getviewclickeddownload&amp;tx_abdownloads_pi1%5Buid%5D=128 target=_blank>http://www.vtiger.de/no_cache/vtiger-crm/downloads/patches.html?tx_abdownloads_pi1%5Baction%5D=getviewclickeddownload&amp;tx_abdownloads_pi1%5Buid%5D=128</a>

BUGTRAQ ID: 30951 CVE(CAN) ID: CVE-2008-3101 vtiger CRM是基于web的开源客户关系管理系统。 vtiger CRM实现上存在漏洞，远程攻击者可以通过向vtiger CRM的多个模块提交恶意的认证或查询请求执行跨站脚本攻击。 1) 当module设置为Users且action设置为Authenticate的时候，index.php文件没有正确的验证对user_password参数的输入便返回给了用户，可能导致在用户浏览器会话中执行任意HTML和脚本代码。 2) 当module设置为Products且action设置为index的时候，index.php文件没有正确的验证对parenttab参数的输入；当module设置为Home且action设置为UnifiedSearch的时候，index.php没有正确的验证对query_string参数的输入，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。 Different Solutions vtiger CRM 5.0.4 Different Solutions ------------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.vtiger.de/no_cache/vtiger-crm/downloads/patches.html?tx_abdownloads_pi1%5Baction%5D=getviewclickeddownload&amp;tx_abdownloads_pi1%5Buid%5D=128 target=_blank>http://www.vtiger.de/no_cache/vtiger-crm/downloads/patches.html?tx_abdownloads_pi1%5Baction%5D=getviewclickeddownload&amp;tx_abdownloads_pi1%5Buid%5D=128</a>