Межсайтовый скриптинг в ZeroBlog

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует при обработке входных данных в параметре threadID сценария thread.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://example.com/thread.php?threadID='
%3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E

URL производителя: www.sothq.net

Решение: Способов устранения уязвимости не существует в настоящее время.