<div dir="ltr"><div>Hello everyone,<br>one of my clients reported this vulnerability to me in vtiger and apparently it happens in all vtiger, up to the current version 7.5. The solution that worked for me was to apply smarty's "<b>strip_tags</b>" everywhere <b>$smarty.request.view</b> appears like this:<br><b style="background-color:rgb(255,255,0)">{$smarty.request.view|strip_request}</b><br><br>smarty: <a href="https://www.smarty.net/docs/en/language.modifier.strip.tags.tpl">https://www.smarty.net/docs/en/language.modifier.strip.tags.tpl</a><br></div><div><br></div><img src="cid:ii_lhpi62kl0" alt="image.png" style="margin-right: 25px;"><br><div><br></div><div><br></div><div><br></div><div>Fix: Mainly in ModuleHeader.tpl files</div><div><img src="cid:ii_lhpiee5b1" alt="image.png" width="322" height="345"><br></div><div><br></div><div><br></div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br><div>---------------------------------------------------------------</div><div>Ing. Henry C.</div><div>Tel.: +51 956727976</div></div></div></div></div></div></div></div></div></div></div></div></div></div>