<div dir="ltr"><p class="" lang="pl-PL" align="justify" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">Hi</p><p class="" lang="pl-PL" align="justify" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">We gave up on Vtiger because of the producer [because of its attitude in particular] and mainly because the producer didn’t allow us to modify the system files and we couldn’t influence the development of the system. We decided to take a different path because we didn’t like the limitations that the marketplace was about to bring. After I received your email I was curious and installed the latest version of Vtiger 6.2 and vtDebug. What I noticed was way beyond my imagination:</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">This module modifies the system files! [and it can be published in marketplace?]:</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt">include\database\PearDatabase.php</span></li><li><span style="font-size:10pt">includes\http\Response.php</span></li><li><span style="font-size:10pt">includes\runtime\Viewer.php</span></li><li><span style="font-size:10pt">libraries\Smarty\libs\Smarty.class.php</span></li><li><span style="font-size:10pt">config.inc.php</span></li><li><span style="font-size:10pt">log4php.properties</span></li><li><span style="font-size:10pt">config.performance.php</span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">After the installation of this module each person who isn’t logged in to the CRM has access to:</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt">PHPInfo - modules/vtDebug/addins/phpinfo.php</span></li><li><span style="font-size:10pt">Log files - modules/vtDebug/vtDebugConsole.php</span></li><li><span style="font-size:10pt">The configuration file !?! - modules/vtDebug/vtDebugConsole.php</span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">What is worse, the module modifies permissions of files in logs and when a correct reading of htaccess [mod_rewrite?] isn’t working all files are publicly available.</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt">logs/viewer-debug.log</span></li><li><span style="font-size:10pt">logs/config.inc.txt [?????????????????!!!!!!!!!!!!!??????????]</span></li><li><span style="font-size:10pt">logs/adblogfile.html</span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">This way, after the installation of this module we get access to the database client modules/vtDebug/addins/phpinfo.php with passwords from the configuration file.</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">The module loads external websites and a user cannot control it!?!:</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt"><a href="http://intellectmatrix.biz/myenterprises/?page_id=38">http://intellectmatrix.biz/myenterprises/?page_id=38</a></span></li><li><span style="font-size:10pt"><a href="http://124.123.150.63:9090/myEntPMportal/login.php">http://124.123.150.63:9090/myEntPMportal/login.php</a> </span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">Once the module is uninstalled:</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt">There are still logs in the system that are publicly available for everyone!</span></li><li><span style="font-size:10pt">Changes performed by the module on the system files remain.</span></li><li><span style="font-size:10pt">Links to existing elements remain – this causes errors in the system.</span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">Public access to:</p><ul style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><li><span style="font-size:10pt">modules/vtDebug/addins/phpminiadmin.php !?!</span></li><li><span style="font-size:10pt">modules/vtDebug/addins/anywhereindb.php !?!</span></li></ul><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">Data downloaded from _REQUEST isn’t filtered, e.g. any file can be downloaded: modules/vtDebug/consoleSupport.php?mode=download&filename=../config.inc.php</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">We spent two hours to verify this module, what would be if we asked a company which looks for security gaps to analyze it?</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">I’m curious, what is this code for:</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">// A message to console<br>$myvtDebugPhp->debug("Hello from vtDebug4PHP");</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">// Outputting an array to console<br>$cars = Array("BMW", "Mercedes", "Honda", "Toyota", "Bentley", "Skoda");<br>$myvtDebugPhp->debug("Some famous cars brands", $cars);</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">// Outputting an object to console<br>$movie = new stdClass;<br>$movie->name = "James Bond :: Skyfall";<br>$movie->star = "Craig, Daniel";<br>$movie->release = "2004";<br>$movie->genre = "Action";<br>$movie->producer = "United Artists";<br>$movie->imdb_link = "<a href="http://www.imdb.com/title/tt1074638/">http://www.imdb.com/title/tt1074638/</a>";<br>$myvtDebugPhp->debug("Object", $movie);</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">I don’t understand the point of encrypting the code if it can be easily decrypted in a few seconds. Maybe someone uses it so it isn’t clearly seen that this module isn’t written in a proper way [doesn’t use smarts, includes files in a wrong way and doesn’t declare classes properly].</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">We don’t consider ourselves as experts, but we are trying to write the code in the best way and using best practices. Everyone makes mistakes. We don’t reproach anything the people who created the module because it’s obvious that no one told them how to program according to MVC logic applied in Vtiger and it can be seen that they have just started programming [it’s a pity that it’s done at the expense of others].</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px"><a name="_GoBack" style="color:rgb(0,105,166)"></a>We are resentful that the producer allows to publish “something like that” in marketplace and what annoys us even more is the fact that this attitude influence that way companies perceive open source solutions! I’m afraid to look into other modules that are in the shop.</p><p class="" lang="pl-PL" style="color:rgb(51,51,51);font-family:Verdana,Geneva,sans-serif;font-size:13.3333330154419px">We suggest you to disable this module in marketplace until its authors introduce necessary amendments.</p></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div><br></div><div><div>Z poważaniem / Regards</div><div>Błażej Pabiszczak</div><div>M: +48.884999123<br>E: <a href="mailto:b.pabiszczak@opensaas.pl" target="_blank">b.pabiszczak@opensaas.pl</a></div></div></div></div>
<br><div class="gmail_quote">2015-04-25 10:44 GMT+02:00 Sutharsan Jeganathan <span dir="ltr"><<a href="mailto:ajstharsan@gmail.com" target="_blank">ajstharsan@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div>Hi<br><br></div>I am not sure whether there were ongoing discussions  and/or actions on this. I found few extensions published through vtiger market place are malfunctioning with bugs. Example<br><br></div>1) One of my client purchased Labels 4 you (its4you) - When editing it seems replacing language files from quote (') to double quote("), this breaks the entire crm because of an error under language/Helpdesk.php.<br><br></div>2) vtdebug - It permanently adss a debug script under Smarty debug.tpl and I was unable to remove it even by uninstalling extension.<br><br></div>Anyway I believe the purchaser / users of extension through vtiger market place should be provided with a minimum assurance of bug free functionality.<br><br><br></div>Thanks<span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888">Sutharsan Jeganathan<br></font></span></div>
<br>_______________________________________________<br>
<a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a><br></blockquote></div><br></div>