Múltiples vulnerabilidades de CSRF en administrator.php en Epignosis eFront Open Source Edition en versiones anteriores a 3.6.15.3 build 18022 permiten a atacantes remotos secuestrar la autenticación de administradores para las peticiones que (1) eliminan módulos a través del parámetro delete_module, (2) desactivan módulos a través del parámetro deactivate_module, (3) activan módulos a través del parámetro activate_module, (4) eliminan usuarios a través del parámetro delete_user, (5) desactivar usuarios a través del parámetro deactivate_user, (6) activar usuarios a través del parámetro activate_user, (7) activar temas a través del parámetro set_theme, (8) desactivar temas a través del parámetro set_theme, (9) eliminar temas a través del parámetro delete, (10) desactivar eventos (registro de usuario o activación de correo electrónico) a través del parámetro deactivate_notification, (11) activar eventos a través del parámetro activate_notification, (12) borrar eventos a través del parámetro delete_notification, (13) desactivar la configuración de idioma a través del parámetro deactivate_language, (14) activar la configuración de idioma mediante el parámetro activate_language, (15) borrar la configuración de idioma a través del parámetro delete_language o (16) activar o desactivar la función de inicio de sesión automático para un usuario a través de una solicitud de mantenimiento manipulada.

Múltiples vulnerabilidades de CSRF en administrator.php en Epignosis eFront Open Source Edition anterior a 3.6.15.3 build 18022 permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) eliminan módulos a través del parámetro delete_module, (2) desactivan módulos a través del parámetro deactivate_module, (3) activan módulos a través del parámetro activate_module, (4) eliminan usuarios a través del parámetro delete_user, (5) desactivan usuarios a través del parámetro deactivate_user, (6) activan usuarios a través del parámetro activate_user, (7) activan temas a través del parámetro set_theme, (8) desactivan temas a través del parámetro set_theme, (9) eliminan temas a través del parámetro delete, (10) desactivan eventos (el registro de usuarios o la activación de emails) a través del parámetro deactivate_notification, (11) activan eventos a través del parámetro activate_notification, (12) eliminan eventos a través del parámetro delete_notification, (13) desactivan las configuraciones de idioma a través del parámetro deactivate_language, (14) activan las configuraciones de idioma a través del parámetro activate_language, (15) eliminan las configuraciones de idioma a través del parámetro delete_language, o (16) activan o desactivan la caractertistica del inicio de sesión automático para un usuario a través de una solicitud de mantenimiento manipulada.