漏洞信息详情

XRMS CRM 用户列表跨站攻击漏洞

漏洞简介

XRMS CRM 是一个用PHP 开发的开源客户关系管理系统和销售团队自动化管理工具。

XRMS存在多个跨站脚本攻击漏洞。远程攻击者可以借助(1)与用户列表相关的真实名字段,(2)到login.php的对象参数,(3)到activities/some.php的标题参数,(4)到companies/some.php的company_name参数, (5)到contacts/some.php的last_name参数, (6)到campaigns/some.php的campaign_title参数,(7)到opportunities/some.php的opportunity_title参数, (8)到cases/some.php的事件标题参数, (9)到files/some.php的文件id参数,或(10)到reports/custom/mileage.php的开始参数,注入任意的web脚本或HTML。

漏洞公告

参考网址

来源: XF

名称: xrms-login-some-mileage-xss(45142)

链接:http://xforce.iss.net/xforce/xfdb/45142

来源: BID

名称: 31008

链接:http://www.securityfocus.com/bid/31008

来源: BUGTRAQ

名称: 20080904 Multiple Cross Site Scripting (XSS) and SQL injection Vulnerabilities in XRMS, CVE-2008-3664

链接:http://www.securityfocus.com/archive/1/archive/1/495981/100/0/threaded

来源: SREASON

名称: 4229

链接:http://securityreason.com/securityalert/4229

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多