для тех кто не успел воспользоваться статьёй с секлаба

вот сама статья :

Поле профиля Статус воспринимает опасные html-тэги (по умолчанию эта
опция включена) и может использоваться для выполнения атак типа XSS а
также некоторых других корыстных целях теми, кто может менять свой
статус (по умолчанию администрация, начиная от группы Модераторы)

Поле профиля Статус по умолчанию воспринимает только 25 символов, но
это легко обходится.

Пример: <body onLoad=alert('ok')>



вот ссылка на секлаб http://www.securitylab.ru/vulnerability/241800.php

Ну эту багу могут только модеры или админы юзать, поэтому если ты обычный юзер, то у тя ничего не выйдет.

ага это обидно

imho nichego takogo, ona biula mne izvestna esche davno. Obiuchnaya vicha a ne baga.

Кстати похожая бага была и в форумах типа "phorum", но там мог её юзать и обычный пользователь.

Eto ne baga a vicha, kotoraya dozvolena toliko Adminam i esli Adminiu razreschat, to i Moderatoram i iuzeram. Po ymolchaniiu ona vkliuchina eto tochno. No v Marte etogo goda, Ya proveryal na foryme antichata v accounte SiloS`a, i eta baga ne deiustvovala tak chto Adminiu ee otkliuchili esche togda.

Koroche vicha eto prosto a ne baga.

есть форум,тама можна менять статус,я менял,теги просто отображаются,а не выполняются =)