Hi Henry <div>Did you resolved XSS, applying smarty's. </div><div><br></div><div>Regards <br><br><div id="ymail_android_signature"><a id="ymail_android_signature_link" href="https://mail.onelink.me/107872968?pid=nativeplacement&c=Global_Acquisition_YMktg_315_Internal_EmailSignature&af_sub1=Acquisition&af_sub2=Global_YMktg&af_sub3=&af_sub4=100000604&af_sub5=EmailSignature__Static_">Enviado desde Yahoo Mail para Android</a></div> <br> <blockquote style="margin: 0 0 20px 0;"> <div style="font-family:Roboto, sans-serif; color:#6D00F6;"> <div>El lun., 15 de may. de 2023 a la(s) 18:08, Henry Cumbicus Rivera</div><div><hcumbicusr@gmail.com> escribió:</div> </div> <div style="padding: 10px 0 0 20px; margin: 10px 0 0 0; border-left: 1px solid #6D00F6;"> <div id="yiv9905875911"><div dir="ltr"><div>Hello everyone,<br>one of my clients reported this vulnerability to me in vtiger and apparently it happens in all vtiger, up to the current version 7.5. The solution that worked for me was to apply smarty's "<b>strip_tags</b>" everywhere <b>$smarty.request.view</b> appears like this:<br><b style="background-color:rgb(255,255,0);">{$smarty.request.view|strip_request}</b><br><br>smarty: <a rel="nofollow noopener noreferrer" target="_blank" href="https://www.smarty.net/docs/en/language.modifier.strip.tags.tpl">https://www.smarty.net/docs/en/language.modifier.strip.tags.tpl</a><br></div><div><br></div><img src="cid:MdzNMSadlTzjSCdy0AJF" yahoo_partid="1.2" alt="image.png" style="margin-right:25px;" id="ymail_ctr_id_-665521-2"><br><div><br></div><div><br></div><div><br></div><div>Fix: Mainly in ModuleHeader.tpl files</div><div><img src="cid:SQ6EUEC1onYul1wQmRaf" yahoo_partid="1.3" alt="image.png" width="322" height="345" id="ymail_ctr_id_-437216-3"><br></div><div><br></div><div><br></div><div><br></div><span class="yiv9905875911gmail_signature_prefix">-- </span><br><div dir="ltr" class="yiv9905875911gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br><div>---------------------------------------------------------------</div><div>Ing. Henry C.</div><div>Tel.: +51 956727976</div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>_______________________________________________<br><a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a> </div> </blockquote></div>