Foro de elhacker.net

http://www.blackroots.it/forum/index.php?topic=1154.0

Supuestamente
http://www.blackroots.it/files/bug_exploit/xss_smf_1.1.4.txt

Si eliminan el tema agradeceria que despues se publique la solucion.

GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG ASAS

solo para actualizarlo.. comprado. hay que ser moderador. para poder explotar esta vulnerabilidad.
 ;D No creo que aqui existan Traisioneros que quieran abusar de confianza  :o

Es porque tienes permiso para introducir html en las noticias, no es ningún xss.

xDDD Exacto, para hacer eso metes directamente eso dentro del index y tambien sale  :xD

El colmo de los colmos.

Ahora los admin prueban XSS con sus foros, no?

Sería un tema a debatir, el de si los programadores, conscientemente, no establecieron un sistema de filtración en la variable de los nombres de los subforos y de los grupos...

Que no exista tal protección en un sistema de noticias puede ser pasable, ¿pero qué utilidad puede tener alterar el contenido a visualizar de dos variables cuya única función es mostrar un dato constante e informativo? Estoy hablando de los módulos manageboards y membergroups...

A pesar de los daños que podrían ocasionar estos ataques, existen las sesiones de identificación, las cuales nos protegen contra posibles actos no deseados, en nuestro foro, al visitar cierto tipo de páginas Web con código malicioso.

Hablo de la ejecución de ciertas operaciones mediante formularios que se auto envían al visitar una página Web, previamente manipulada para ello, claro ésta. Si desconocemos el identificador de sesión, que es un combinación alfanumérica generada pseudo-aleatoriamente en cada sesión, no podremos ejecutar esa serie de operaciones.

Conclusión... no hay peligro inminente.