module xoopspoll <== 1.02 ::: XSS
Скрипт: postcomment.php
Выводимые данные поля Subject(переменная $_POST['subject']) не обрабатываются, что дает нам xss.
Пример: postcomment.php
Пишем комментарий, в поле subject пишем <script>alert('hek')</script> В самом комментарии пишем что угодно.
Оставляем комментарий. И видим, что скрипт выполнился.
(действует как активная xss)