<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="overflow-wrap: break-word; zoom: 0%;" class=""><div dir="auto">This is the exploit:<br><br></div>
<div dir="auto">Manual steps to reproduce the vulnerability ...<br><br></div>
<div dir="auto">1. Open the web-application ui<br><br></div>
<div dir="auto">2. Login with a regular user role to the ui<br><br></div>
<div dir="auto">3. Open vendors and move to compose to email form<br><br></div>
<div dir="auto">4. Inject malicious payload as "to" sender information and as well a<br><br></div>
<div dir="auto">valid email to target<br><br></div>
<div dir="auto">5. Send the request after the compose<br><br></div>
<div dir="auto">6. Wait until the administrator or higher privileged targeted users<br><br></div>
<div dir="auto">click in the email or receives the email on preview<br><br></div>
<div dir="auto">7. Successful reproduce of the cross site scripting web vulnerability!<br><br></div>
<div dir="auto"> We must check if it is still working in the latest version. <br><br></div>
<div dir="auto">Vincenzo<br><br><br></div>
<div class="gmail_quote" >Il giorno 14 Apr 2021, alle ore 10:38, Sukhdev Mohan <<a href="mailto:s.mohan@myti.it" target="_blank">s.mohan@myti.it</a>> ha scritto:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hi All,<div class=""><br class=""></div><div class="">I was surfing this security exploits web site and found this <a href="https://0day.today/exploit/description/35301" class="">https://0day.today/exploit/description/35301</a> </div><div class="">Can anyone tell me if this has been fixed? There are others security exploits, this is the most recent.</div><div class=""><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div>Best Regards,<br class=""><b class="">Sukhdev Mohan</b> | <b class="">Software Developer</b></div></div><br class="Apple-interchange-newline"></div><br class="Apple-interchange-newline"></div><br class="Apple-interchange-newline"></div><br class="Apple-interchange-newline"></div><br class="Apple-interchange-newline"><br class="Apple-interchange-newline">
</div>

<br class=""></div><pre class="blue"><hr><br><a href="http://www.vtiger.com/">http://www.vtiger.com/</a></pre></blockquote></div></body></html>