Суть уязвимости.
Уязвимость состоит в настройках профиля. Так как в некоторых параметрах данные не фильтруються и мы имеем возможность вставить свой код.
Для зарегистрированных пользователей возможна вставка своего кода:
„Цвет вашего Ника в ваших сообщениях“
„Цвет текста ваших сообщений“.
далее читаем тут..
Патч для администраторов чата:
http://php.spb.ru/chat/update-2005-07-02.zip (распаковать файл из архива и записать в каталог src)
Уязвимость нашел: Morph
Автор статьи: Morph
