NextBBS Активная XSS
 

Уязвимость: aXSS
Продукт: NextBBS
Версия: 0.4.5

Не вижу смысла приводить код, какая-либо фильтрация отсутствует напрочь, заходим в свой профиль, уязвимы все поля (AIM Name, ICQ Number, Yahoo Identity, MSN Identity, Home Page, Location, Interests).

Также активка присутствует в общем разделе Calendar, каждый может из своего профиля добавлять туда события, добавляем событие и в поле Event Name пихаем наш код.

Собственно опробовать можно на форуме разработчика: http://nextbbs.com/do_main