VULHUB ™

vtiger CRM是基于web的开源客户关系管理系统。 vtiger CRM实现上存在漏洞，远程攻击者可以通过向vtiger CRM的多个模块提交恶意的认证或查询请求执行跨站脚本攻击。 1) 当module设置为Users且action设置为Authenticate的时候，index.php文件没有正确的验证对user_password参数的输入便返回给了用户，可能导致在用户浏览器会话中执行任意HTML和脚本代码。 2) 当module设置为Products且action设置为index的时候，index.php文件没有正确的验证对parenttab参数的输入；当module设置为Home且action设置为UnifiedSearch的时候，index.php没有正确的验证对query_string参数的输入，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。

vtiger CRM是基于web的开源客户关系管理系统。 vtiger CRM实现上存在漏洞，远程攻击者可以通过向vtiger CRM的多个模块提交恶意的认证或查询请求执行跨站脚本攻击。 1) 当module设置为Users且action设置为Authenticate的时候，index.php文件没有正确的验证对user_password参数的输入便返回给了用户，可能导致在用户浏览器会话中执行任意HTML和脚本代码。 2) 当module设置为Products且action设置为index的时候，index.php文件没有正确的验证对parenttab参数的输入；当module设置为Home且action设置为UnifiedSearch的时候，index.php没有正确的验证对query_string参数的输入，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。