Vtiger Crm
Уязвимости
74
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.84535
Распределение по критичности
Критический
8
Высокий
25
Средний
39
Низкий
2
Затронутые диапазоны версий
5.1.0–5.4.06.4.0–7.07.0–7.2.0< 5.1.0< 5.3.0≤ 4.2≤ 4.2.4≤ 5.0.2≤ 5.0.3≤ 5.1.0≤ 5.2.0≤ 5.2.1≤ 5.4.0≤ 6.0.0≤ 6.1≤ 6.3.0≤ 6.4.0≤ 7.0.1≤ 7.1.0≤ 7.4.0≤ 8.1.0
Также сопоставлено как (исходные строки): vtiger_crm,vtiger crm
Топ уязвимостей
CVE-2020-22807Обнаружена проблема в vtiger crm 7.2. Union sql injection в функции экспорта данных календаря.
CVE-2013-3215vtiger CRM 5.4.0 и более ранние версии содержат уязвимость обхода аутентификации из-за неправильной проверки аутентификации в функции validateSession.
CVE-2013-3214vtiger CRM 5.4.0 и более ранние версии содержат уязвимость внедрения PHP-кода в 'vtigerolservice.php'.
CVE-2024-44779Отраженная уязвимость межсайтового скриптинга (XSS) в параметре viewname на индексной странице vTiger CRM 7.4.0 позволяет злоумышленникам выполнять произвольный код в контексте браузера пользователя, внедряя специально созданную полезную нагрузку.
CVE-2024-44778Отраженная уязвимость межсайтового скриптинга (XSS) в параметре parent на индексной странице vTiger CRM 7.4.0 позволяет злоумышленникам выполнять произвольный код в контексте браузера пользователя, внедряя специально созданную полезную нагрузку.
CVE-2024-44777Отраженная уязвимость межсайтового скриптинга (XSS) в параметре tag на индексной странице vTiger CRM 7.4.0 позволяет злоумышленникам выполнять произвольный код в контексте браузера пользователя, внедряя специально созданную полезную нагрузку.
CVE-2009-3258vtiger CRM до версии 5.1.0 позволяет удаленным аутентифицированным пользователям с определенными привилегиями View удалять (1) вложения, (2) отчеты, (3) фильтры, (4) представления и (5) билеты; вставлять (6) вложения, (7) отчеты, (8) фильтры, (9) представления и (10) билеты; и редактировать (11) отчеты, (12) фильтры, (13) представления и (14) билеты через неуказанные векторы.
CVE-2009-3250Процедура saveForwardAttachments в функциональности Compose Mail в vtiger CRM 5.0.4 позволяет удаленным аутентифицированным пользователям выполнять произвольный код, составляя сообщение электронной почты с именем файла вложения, заканчивающимся на (1) .php в установках, основанных на определенных конфигурациях Apache HTTP Server, (2) .php. в Windows или (3) .php/ в Linux, а затем отправляя прямой запрос к определенному пути в storage/.
CVE-2023-38891Уязвимость SQL-инъекции в Vtiger CRM v.7.5.0 позволяет удаленному прошедшему проверку подлинности злоумышленнику повысить привилегии через функцию getQueryColumnsList в ReportRun.php.
CVE-2019-19202В Vtiger 7.x до версии 7.2.0 функция сохранения «Мои настройки» позволяет пользователю без прав администратора изменить свою роль, добавив roleid=H2 к POST-запросу.
CVE-2019-11057Уязвимость SQL-инъекции в Vtiger CRM до версии 7.1.0 hotfix3 позволяет прошедшим проверку подлинности пользователям выполнять произвольные SQL-команды.
CVE-2016-10754modules/Calendar/Activity.php в Vtiger CRM 6.5.0 допускает внедрение SQL через параметр contactidlist.
CVE-2015-6000Уязвимость неограниченной загрузки файлов в классе Settings_Vtiger_CompanyDetailsSave_Action в modules/Settings/Vtiger/actions/CompanyDetailsSave.php в Vtiger CRM 6.3.0 и более ранних версиях позволяет удаленным аутентифицированным пользователям выполнять произвольный код, загрузив файл с исполняемым расширением, а затем получив к нему доступ через прямой запрос к файлу в test/logo/.
CVE-2013-3591vTiger CRM 5.3 и 5.4: Уязвимость произвольного выполнения PHP-кода в папке загрузки 'files'.
CVE-2007-3599vtiger CRM до версии 5.0.3 позволяет удаленным аутентифицированным пользователям импортировать и экспортировать информацию о контакте, даже если у них есть только разрешение на просмотр.
BDU:2017-01190Уязвимость службы обработки файла CompanyDetailsSave.php системы управления взаимоотношениями с клиентами vTiger CRM связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи прямого запроса
CVE-2024-42995VTiger CRM <= 8.1.0 некорректно проверяет привилегии пользователя. Пользователь с низкими привилегиями может взаимодействовать напрямую с административным модулем "Migration", чтобы отключить произвольные модули.
CVE-2023-46304modules/Users/models/Module.php в Vtiger CRM 7.5.0 позволяет удаленному аутентифицированному злоумышленнику выполнять произвольный код PHP, поскольку незащищенная конечная точка позволяет им записывать этот код в файл config.inc.php (выполняется при каждой загрузке страницы).
CVE-2016-4834modules/Users/actions/Save.php в Vtiger CRM 6.4.0 и более ранних версиях неправильно ограничивает действия по сохранению пользователей, что позволяет удаленным аутентифицированным пользователям создавать или изменять учетные записи пользователей через неуказанные векторы.
CVE-2013-3212vtiger CRM 5.4.0 и более ранние версии содержат уязвимости local file-include в 'customerportal.php', которые позволяют удаленным злоумышленникам просматривать файлы и выполнять локальный код скрипта.
CVE-2013-3213Множественные уязвимости SQL-инъекций в vTiger CRM 5.0.0–5.4.0 позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через (1) параметр picklist_name в методе get_picklists в soap/customerportal.php, (2) параметр where в методе get_tickets_list в soap/customerportal.php или (3) параметр emailaddress в методе SearchContactsByEmail в soap/vtigerolservice.php; или удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через (4) параметр emailaddress в методе SearchContactsByEmail в soap/thunderbirdplugin.php.
CVE-2011-4559Уязвимость SQL-инъекции в модуле Calendar в vTiger CRM 5.2.1 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр onlyforuser в действии index в index.php.
CVE-2009-3249Множественные уязвимости обхода каталогов в vtiger CRM 5.0.4 позволяют удаленным злоумышленникам включать и выполнять произвольные локальные файлы через .. (двойную точку) в (1) параметре module для graph.php; или (2) параметре module или (3) file для include/Ajax/CommonAjax.php, доступном через modules/Campaigns/CampaignsAjax.php, modules/SalesOrder/SalesOrderAjax.php, modules/System/SystemAjax.php, modules/Products/ProductsAjax.php, modules/uploads/uploadsAjax.php, modules/Dashboard/DashboardAjax.php, modules/Potentials/PotentialsAjax.php, modules/Notes/NotesAjax.php, modules/Faq/FaqAjax.php, modules/Quotes/QuotesAjax.php, modules/Utilities/UtilitiesAjax.php, modules/Calendar/ActivityAjax.php, modules/Calendar/CalendarAjax.php, modules/PurchaseOrder/PurchaseOrderAjax.php, modules/HelpDesk/HelpDeskAjax.php, modules/Invoice/InvoiceAjax.php, modules/Accounts/AccountsAjax.php, modules/Reports/ReportsAjax.php, modules/Contacts/ContactsAjax.php и modules/Portal/PortalAjax.php; и позволяют удаленным аутентифицированным пользователям включать и выполнять произвольные локальные файлы через .. (двойную точку) в параметре step в действии Import для модулей (4) Accounts, (5) Contacts, (6) HelpDesk, (7) Leads, (8) Potentials, (9) Products или (10) Vendors, доступном через index.php и связанном с modules/Import/index.php и множеством файлов Import.php.
CVE-2006-5289Множественные уязвимости PHP remote file inclusion в Vtiger CRM 4.2 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольный PHP-код через URL в параметре calpath в (1) modules/Calendar/admin/update.php, (2) modules/Calendar/admin/scheme.php или (3) modules/Calendar/calendar.php.
CVE-2006-4617Уязвимость несанкционированной загрузки файлов в fileupload.html в vtiger CRM 4.2.4 и, возможно, более ранних версиях, позволяет удаленным злоумышленникам загружать и выполнять произвольные файлы с исполняемыми расширениями в папке /cashe/mails.