<div dir="ltr">Błażej,<br><br>There are few areas where XSS has been noted and we are working to fix them. <br><div><br></div><div><div>Evaluating XSS like in CMS is not appropriate is my personal opinion. </div><div>Please let us know if unauthenticated user / non-CRM user can make such injections.</div></div><div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">3. You can change any records from pricebook module</blockquote><div>Please clarify.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-family:arial,sans-serif;font-size:13.3333339691162px">4. You can put any html in notepad (e.g. external image)</span></blockquote><div>Is this done without user authentication. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">5. and many others</blockquote><div>You can send us the list. </div><div><br></div><div><div></div></div><div>We will continue to weed them out. Thank you for letting us know again.</div><div><br></div><div>Regards,</div><div>Prasad</div></div></div><div class="gmail_extra"><br clear="all"><div><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><b>Connect with us on: </b><a href="http://twitter.com/vtigercrm" style="color:rgb(0,0,204)" target="_blank">Twitter</a> <b>I</b> <a href="http://www.facebook.com/pages/vtiger/226866697333578?sk=wall" style="color:rgb(0,0,204)" target="_blank">Facebook</a> <b>I</b> <a href="https://blogs.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Blog</a><b> I</b> <a href="http://wiki.vtiger.com/index.php/Main_Page" style="color:rgb(0,0,204)" target="_blank">Wiki</a> <b>I </b><a href="https://discussions.vtiger.com" style="color:rgb(0,0,204)" target="_blank">Forums </a><b>I</b> <a href="https://www.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Website</a></span></div>
<br><div class="gmail_quote">On Mon, Sep 29, 2014 at 10:29 PM, Pabiszczak, Błażej <span dir="ltr"><<a href="mailto:b.pabiszczak@opensaas.pl" target="_blank">b.pabiszczak@opensaas.pl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><ol><li>XSS in Cloud Tag (e.g.: a<script>alert(123)</script>b a) </li><li>Ignor limit the number of characters:  c<script>alert(document.cookie)</script>d</li><ul><li>You can view sessionid, <br></li><li>you can put img from external address<br></li><li>etc.</li></ul><li>You can change any records from pricebook module.</li><li>You can put any html in notepad (e.g. external image)</li><li>and many others</li></ol>do you test systems? Do you use tools like Accunetix? <div><div><br></div><div><div>Z poważaniem / Regards</div><span class="HOEnZb"><font color="#888888"><div>Błażej Pabiszczak</div><div>M: +48.884999123<br>E: <a href="mailto:b.pabiszczak@opensaas.pl" target="_blank">b.pabiszczak@opensaas.pl</a></div></font></span></div></div>
</div>
<br>_______________________________________________<br>
<a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a><br></blockquote></div><br></div>