<div dir="ltr">Hi,<div><br></div><div><span style="font-family:arial,sans-serif;font-size:13px">Please update us for these sort of vulnerability issues and we work closely to get such issues resolved at most priority.</span><br>

</div><div><br></div><div>Regards</div><div>Uma S</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 16, 2014 at 1:19 PM, Uma S <span dir="ltr"><<a href="mailto:uma.s@vtiger.com" target="_blank">uma.s@vtiger.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div>Thanks for Jonathan Security Architect from Navixia for reporting vulnerability in <div>
vtiger 6.0.</div>
<div><br></div><div><b>Summary:</b></div><div><ol><li>Request to Forgotpassword.php, by passing parameter username, password, confirpassword. One can change the password of any user.<br>


</li><li>Ajax request to Index.php (modules/Install/views) with mode as Step7, by passing authentication key can re-install the source. Where authentication key can be gained in Step6 of installation in DOM.</li></ol><div>




<b>Update:</b></div></div><div><ol><li>The fix devised to forgotpassword will look for secret hash value with addition to username and password.<br></li><li>The fix devised to re-installation will check whether the source is already installed, if so stop installation<br>




</li><li>Please find the <a href="http://trac.vtiger.com/cgi-bin/trac.cgi/changeset/14043" target="_blank">changeset</a> for both fix.</li></ol></div><div><br></div><div><b>Download:</b></div><div><div style="font-family:arial,sans-serif;font-size:13px">



<font face="arial, sans-serif"><span style="white-space:nowrap">vtigercrm-600-security-patch2.zip (unzip into your existing vtiger 6 source directory).</span></font><span class="HOEnZb"><font color="#888888"><br>
</font></span></div></div><span class="HOEnZb"><font color="#888888"><div><font face="arial, sans-serif"><span style="white-space:nowrap"><br></span></font></div><div><div><div><br></div>-- <br><div dir="ltr">With<br>Best Regards<br>

Uma.S<br><div>Vtiger Team</div></div>
</div></div></font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div>
</div>