Vulnerabilidad en vTiger CRM (CVE-2011-4670)

Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en vTiger CRM versión 5.2.1 y anteriores, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del (1) parámetro viewname en una acción CalendarAjax, (2) parámetro activity_mode en una acción DetailView, parámetros (3) contact_id y (4) parent_id en una acción EditView, parámetros (5) day, (6) month, (7) subtab, (8) view y (9) viewOption en la acción index y parámetro (10) start en la acción ListView en el módulo Calendar; parámetros (11) return_action y (12) return_modules en la acción EditView y parámetro (13) query en una acción index en el módulo Campaigns; parámetros (14) return_url y (15) workflow_ids en una acción editworkflow en el módulo com_vtiger_workflow; parámetro (16) display_view en una acción index para el módulo Dashboard; parámetros (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage y (23) type en una acción ListView para el módulo Potentials; parámetro (24) folderid en una acción SaveandRun en el módulo Reports; parámetros (25) returnaction y (26) groupId en una acción createnewgroup, parámetros (27) mode y (28) parent en una acción createrole, parámetro (29) src_module en una acción ModuleManager, parámetros (30) mode y (31) profile_id en una acción profilePrivileges y parámetro (32) roleid en un RoleDetailView para el módulo Settings; y parámetro (33) action para el módulo Home y (34) module en el archivo phprint.php.