NVD Vulnerability Detail

CVE-2011-4670

Summary	Multiple cross-site scripting (XSS) vulnerabilities in vTiger CRM 5.2.1 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) viewname parameter in a CalendarAjax action, (2) activity_mode parameter in a DetailView action, (3) contact_id and (4) parent_id parameters in an EditView action, (5) day, (6) month, (7) subtab, (8) view, and (9) viewOption parameters in the index action, and (10) start parameter in the ListView action to the Calendar module; (11) return_action and (12) return_module parameters in the EditView action, and (13) query parameter in an index action to the Campaigns module; (14) return_url and (15) workflow_id parameters in an editworkflow action to the com_vtiger_workflow module; (16) display_view parameter in an index action to the Dashboard module; (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage, and (23) type parameters in a ListView action to the Potentials module; (24) folderid parameter in a SaveandRun action to the Reports module; (25) returnaction and (26) groupId parameters in a createnewgroup action, (27) mode and (28) parent parameters in a createrole action, (29) src_module in a ModuleManager action, (30) mode and (31) profile_id parameters in a profilePrivileges action, and (32) roleid parameter in a RoleDetailView to the Settings module; and (33) action parameter to the Home module and (34) module parameter to phprint.php.
Publication Date	Dec. 3, 2011, 1:55 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:32 a.m.

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:vtiger:vtiger_crm::::::::			5.2.1

Related information, measures and tools

No	URL	タグ
1	http://osvdb.org/76005	Broken Link
2	http://osvdb.org/76006	Broken Link
3	http://seclists.org/fulldisclosure/2011/Oct/154	Exploit Mailing List Third Party Advisory
4	http://www.securityfocus.com/archive/1/519993/100/0/threaded
5	http://www.securityfocus.com/bid/49927	Exploit Third Party Advisory VDB Entry
6	http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS	Exploit
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/70306	Third Party Advisory VDB Entry
8	https://www.exploit-db.com/exploits/36203/	Third Party Advisory VDB Entry
9	https://www.exploit-db.com/exploits/36204/	Third Party Advisory VDB Entry
10	http://osvdb.org/76005	Broken Link
11	https://www.exploit-db.com/exploits/36204/	Third Party Advisory VDB Entry
12	https://www.exploit-db.com/exploits/36203/	Third Party Advisory VDB Entry
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/70306	Third Party Advisory VDB Entry
14	http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS	Exploit
15	http://www.securityfocus.com/bid/49927	Exploit Third Party Advisory VDB Entry
16	http://www.securityfocus.com/archive/1/519993/100/0/threaded
17	http://seclists.org/fulldisclosure/2011/Oct/154	Exploit Mailing List Third Party Advisory
18	http://osvdb.org/76006	Broken Link

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

vTiger CRM におけるクロスサイトスクリプティングの脆弱性

Title	vTiger CRM におけるクロスサイトスクリプティングの脆弱性
Summary	vTiger CRM には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 Calendar モジュールに対する (1) CalendarAjax アクションの viewname パラメータ (2) DetailView アクションの activity_mode パラメータ (3) EditView アクションの contact_id パラメータ (4) EditView アクションの parent_id パラメータ (5) index アクションの day パラメータ (6) index アクションの month パラメータ (7) index アクションの subtab パラメータ (8) index アクションの view パラメータ (9) index アクションの viewOption パラメータ (10) ListView アクションの start パラメータ Campaigns モジュールに対する (11) EditView アクションの return_action パラメータ (12) EditView アクションの return_module パラメータ (13) index アクションの query パラメータ com_vtiger_workflow モジュールに対する (14) editworkflow アクションの return_url パラメータ (15) editworkflow アクションの workflow_id パラメータ Dashboard モジュールに対する (16) index アクションの display_view パラメータ Potentials モジュールに対する (17) ListView アクションの closingdate_end パラメータ (18) ListView アクションの closingdate_start パラメータ (19) ListView アクションの date_closed パラメータ (20) ListView アクションの owner パラメータ (21) ListView アクションの leadsource パラメータ (22) ListView アクションの sales_stage パラメータ (23) ListView アクションの type パラメータ Reports モジュールに対する (24) SaveandRun アクションの folderid パラメータ Settings module モジュールに対する (25) createnewgroup アクションの returnaction パラメータ (26) createnewgroup アクションの groupId パラメータ (27) createrole アクションの mode パラメータ (28) createrole アクションの parent パラメータ (29) ModuleManager アクションの src_module パラメータ (30) profilePrivileges アクションの mode パラメータ (31) profilePrivileges アクションの profile_id パラメータ (32) RoleDetailView アクションの roleid パラメータ Home モジュールに対する (33) action パラメータ phprint.php に対する (34) module パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 2, 2011, midnight
Registration Date	Dec. 5, 2011, 4:09 p.m.
Last Update	Dec. 8, 2011, 12:30 p.m.

Affected System

Vtiger

Vtiger CRM 5.2.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4670	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4670
National Vulnerability Database (NVD)
2	CVE-2011-4670	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4670

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Vtiger CRM
1	Top Page	http://www.vtiger.com/
2	vtigerCRM.jp	http://www.vtigercrm.jp/home

Change Log

No	Changed Details	Date of change
0	[2011年12月05日] 掲載 [2011年12月08日] 想定される影響：モジュール名を Poten! tials から Potentials へ修正	Feb. 17, 2018, 10:37 a.m.