<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div> </div>
<div>When a user is using self service to change their password the process fails</div>
<div> </div>
<div>The problem is that two important fields are not being passed to the forgotpassword template and therefore not being sent to the forgotPassword action script</div>
<div> </div>
<div>The two required fields are secret_hash and shorturl_id</div>
<div> </div>
<div>Without the secret hash the function fails, without the shorturl id the shorturl table cannot be cleaned which is a security risk, short urls should also be timed out when appropriate such as in the case of password resets!</div>
<div> </div>
<div>The scripts at the centre of this problem is …</div>
<div><a href="http://trac.vtiger.com/cgi-bin/trac.cgi/browser/vtigercrm/trunk/modules/Users/ForgotPassword.php?rev=14045"><font color="#0000FF"><u>http://trac.vtiger.com/cgi-bin/trac.cgi/browser/vtigercrm/trunk/modules/Users/ForgotPassword.php?rev=14045</u></font></a></div>
<div> </div>
<div>Severity: Showstopper!</div>
<div> </div>
<div>I am about to implement an internal secure vtiger instance with hundreds of  users. Such a system will cause major headaches if users cannot reset their passwords</div>
<div> </div>
<div>Chris</div>
<div> </div>
<div> </div>
</font>
</body>
</html>