sikikmail[arroba]gmail.com reporta que ZoomBlog es vulnerable a ataques "HTML injection".
Es posible para un usuario malicioso de ZoomBlog inyectar HTML hostil y código script en los comentarios mediante los campos del formulario.
Este código será interpretado por el navegador del usuario que visualice los comentarios en ZoomBlog.
ZoomBlog no filtra adecuadamente las etiquetas HTML de varios campos.
Esto podría habilitar a un atacante para inyectar codigo script arbitrario dentro de las páginas que son generadas por ZoomBlog.
Ejemplo:
(ver reporte original)
Solución:
Rogelio Bernal Andreo me informa que este fallo fue resuelto el pasado 4 de noviembre cuando detectaron a un usuario haciendo pruebas sobre esto.
Referencias:
Bugtraq: Zoomblog HTML Injection Vulnerability
http://seclists.org/lists/bugtraq/2005/Nov/0065.html
